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译 痢 序 


提 一 个 问题 ，《 蒙 娜 丽 莎 》 为 什么 如 此 经 典 ? 因为 这 幅 作 品 不 仅 凝聚 了 
达 ' 分 奇 非凡 的 绘画 技巧 ， 还 融合 了 他 对 人 体 解剖 学 和 黄金 分 割 律 等 诸 
多 理论 的 理解 和 应 用 。 不 同 范 畴 的 撤 术 一 经 交汇 ， 往 往 能 伴 撞 出 迷人 的 
火花 ，《 蒙 娜 丽 莎 》 便 是 个 极 好 的 例子 。 


在 茫 范 书 海中 挑 出 了 这 本 书 的 你 ， 让 我 茶 喜 你 一 下 ， 如 果 想 要 系统 地 学 
习 服 务 器 问 网 络 架 构 知 识 并 希望 学 以 致 用 ， 这 绝对 是 当前 已 出 版 的 书籍 
中 最 好 的 一 本 。 不 管 你 是 网 络 架 构 师 、 服 务 器 工程 师 ， 还 是 二 者 兼顾 多 
元 并 修 的 IT 技术 牛人 ， 这 本 书 都 能 让 你 家 然 开明 、 如 席 添 辟 ! 


计算 机 之 间 的 网 络 互 连 始 于 20 世纪 80 年 代 。 在 我 国 ， 互 联网 从 1997 
年 才 开始 得 到 真正 的 发 展 。 网 络 架构 本 身 就 是 非常 年 轻 的 技术 ， 谈 到 服 
务 器 端 网 络 架 构 这 个 更 为 细 化 的 范畴 ， 就 更 是 缺少 系统 化 的 指南 和 探讨 
了 。 人 悄悄 地 问 一 下 自己 ， 清 楚 网 络 设 计 中 的 每 项 设计 工程 分 别 是 为 哪个 
OSI 层 服务 的 吗 ? 如 果 回 答 是 否定 的 ， 是 不 是 有 点 担心 设计 内 容 会 漏洞 
和 


看 到 这 里 ， 你 是 不 是 在 担心 这 本 书 对 目 己 来 说 太 过 高 大 上 ， 害 介 无 法 鸭 
驱 呢 ?请 放心 ， 这 本 书 的 门槛 并 不 算 高 ， 即 便 是 初学 者 也 能 看 懂 。 当 你 
踏 踏实 实 跨 过 这 道门 槛 后 ， 更 加 丰富 立体 的 世界 就 会 展现 在 你 的 眼前 。 
在 如 今 的 I 开 行业 中 ， 网 络 架 构 师 和 服务 器 工程 师 往往 一 抓 一 大 把 ， 但 
能 够 将 二 者 有 机 结合 并 且 运 用 目 如 的 技术 人 员 却 并 不 多 见 。 这 本 书 或 许 
不 能 让 你 一 口气 临 欧 出 有 如 成 品 的 《 莹 娜 丽 莎 》， 但 起 码 能 让 你 慢 慢 勾 
勒 出 深 得 名 画 精 髓 的 系 插 图 ， 那 是 不 是 也 很 历 害 呢 ? 


总 结 起 来 ， 这 本 书 除 了 系统 化 的 讲解 之 外 还 具有 以 下 两 大 特色 。 


(1) 细致 。 拿 到 原稿 时 首先 让 我 惊讶 的 是 ， 居 然 有 一 个 章节 (第 0 
章 ) 是 专门 讲解 如 何 通 贤 到 了 许多 容易 忽视 但 非常 重 这 本 书 的 。 学 习 讲 
宛 提 纲 者 领 ， 这 本 书 细致 到 了 告诉 读者 应 该 怎样 去 提纲 者 领 ， 实 属 难 
得 。 书 中 还 提要 的 设计 细节 ， 令 人 叹服 。 






































(2) 实用 。 入 门 书 容易 偏重 于 理论 讲解 而 缺少 实例 说 明 ， 本 书 却 列举 
了 大 量 活生生 的 例子 ， 对 实战 人 员 来 说 具有 真正 的 参考 价值 ， 其 中 不 乏 
让 人 哈哈 大 笑 的 失败 事例 。 而 且 图 文 并 戊 ，400 多 张 辅助 说 明 的 图 浅显 
易 懂 ， 让 你 大 呼 “So easy”。 


顺便 提 一 句 ， 原 书 出 目 日 本 软银 公司 旗下 的 出 版 社 ， 软 银 公 司 实力 如 何 
世人 人 首 知 ， 它 旗下 的 出 版 社 腿 力 同 来 个 俗 ， 相 信 读 过 本 书后 你 也 一 定 会 
赞同 。 


我 是 抱 着 虚心 学 习 的 态度 完成 这 本 书 的 翻译 的 。 虽 然 从 事 IT 行业 已 近 
十 年 ， 兼 做 翻译 ( 含 口译 ) 也 有 十 来 年 的 丰富 经 验 ， 但 对 网 络 技术 和 基 
础 架构 毕竟 未 曾 做 过 深入 的 专攻 ， 以 至 于 对 某 些 内 容 和 文字 的 考证 推 吉 
到 了 “成 战 豆 诡 ， 如 履 注 冰 * 的 地 步 。 不 过 也 正 因为 如 此 ， 在 翻译 的 过 程 
中 我 非常 真切 地 体会 到 了 该 书 浅显 易 懂 的 写作 风格 和 接触 到 新 知识 新 技 
能 时 的 无 穷 乐趣 。 感 谢 人 民 上 邮电 出 版 社 图 灵 公司 让 我 见识 到 了 不 一 样 的 
风景 ， 感 谢 高 字 涵 老师 在 编校 中 付出 的 辛勤 劳动 ， 吏 心 希望 这 本 书 能 关 
读者 们 开启 一 肩 窗口 ， 让 大 家 看 到 另 一 片 海阔天空 
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前 吾 
关于 本 书 
本 书 将 为 你 讲述 服务 器 端 网 络 架 构 中 的 基础 技术 和 设计 要 点 。 


最 近 出 现 了 一 股 回 归 场 内 服务 (On-premises， 也 称 内 部 部 署 ， 即 公司 内 
部 运行 ) 的 新 潮流 ， 鼎 有 与 云 计算 这 股 时 代 大 潮 相 抗衡 的 趋势 。 将 所 有 
的 数据 都 存放 在 云 上 是 否 安 全 ? 人们 这 种 不 安 的 心理 引发 了 对 场 内 服务 
的 回归 ， 还 滋生 了 男 一 种 新 的 潮流 云 计 算 和 场 内 服务 的 混合 体 。 在 
这 样 不 断 变 化 的 大 环境 中 ， 笔 者 认为 场 内 服务 仍 将 继续 存在 下 去 。 本 书 
人 详细 说 明 其 中 服务 器 端 网 络 架构 的 基础 技术 和 设计 要 


最 近 这 几 年 ， 在 服务 器 问 网 络 使 用 的 基础 通信 技术 并 没有 太 大 的 进步 。 
服务 器 端 大 多 设 在 绝 不 允许 服务 中 断 的 关键 任务 环境 中 ， 新 技术 很 难 渗 
透 ， 也 很 难 植 根 于 这 样 的 环境 。 但 正 因 如 此 ， 服 务 器 端的 多 余部 分 才 得 
以 剔除 ， 形 成 了 非常 精简 单纯 的 风格 。 网 络 的 基础 技术 可 以 说 已 经 成 型 
了 ， 然 而 在 网 络 上 运行 的 网 络 设备 和 服务 器 的 技术 仍然 踩 着 现在 进行 时 
的 节奏 在 持续 不 断 地 焊 发 性 及 展 ， 由 此 出 现 了 虚拟 技术 和 网 络 存储 技术 
等 基于 网 络 的 创新 技术 。 如 今 ， 它 们 已 在 系统 中 不 可 或 缺 。 随 着 这 些 技 
术 的 发 展 ， 人 们 追求 的 网 络 形态 和 网 络 设计 的 方式 也 在 时 刻 发 生 着 变 
化 ， 基 础 架构 工程 师 和 服务 器 工程 师 必须 能 灵活 应 对 这 些 变 化 才 行 。 


在 网 络 世 界 里 ， 无 论 出 现 怎样 的 新 搁 术 ， 基 础 部 分 都 不 会 有 太 大 的 变 
化 ， 无 非 是 在 条 些 地 方 对 条 些 功 能 分 而 化 之 ， 或 是 恰恰 相反 ， 将 茶 些 地 
方 的 茶 些 功能 整 而 合 之 ， 使 它们 周而复始 地 聚 散 离合 而 已 。 正 因为 基础 
技术 早已 成 型 ， 才 需要 我 们 更 深入 、 更 扎实 地 掌握 它们 。 只 要 掌握 好 基 
础 部 分 ， 那 么 无 论 上 层 运行 的 是 什么 技术 和 设备 ， 我 们 都 能 够 沉着 应 
对 ， 雇 不 会 乱 了 阵脚 。 


但 是 ， 基 近 重 视 珊 求 定义 和 基础 设计 这 些 上 游 工 程 而 轻视 详细 设计 和 具 
体 架构 这 些 下 游 工程 的 事例 有 增 无 减 。 上 游 工程 当然 是 重要 的 ， 而 

且 “ 仅 了 解 技 术 概 要 即 可 ”这 种 想法 的 确 会 种 来 更 高 的 效 京 ， 有 它 一 定 的 
道理 。 不 过 ， 笔 者 对 这 种 说 法 有 着 明显 的 抵触 感 一 一 在 下 游 工程 中 设置 






































过 多 少 合 机 器 、 经 历 过 多 少 次 问题 ， 最 后 终究 会 反映 到 上 游 工 程 中 ， 反 
映 出 我 们 作为 基础 架构 或 网 络 工 程 师 的 后 强 和 说 话 的 分 量 。 没 接触 过 设 
备 ， 就 不 知道 哪里 才 是 关键 ， 不 知道 发 生 问 题 时 应 该 如 何 处 理 。 而 且 ， 
仅仅 将 操作 手册 和 规格 说 明 书 里 的 内 容 圆 轿 吞 灰 后 就 去 尝试 系统 架构 ， 
这 种 网 络 设计 手法 也 是 大 错 特 错 的 。 因 为 操作 手册 和 规格 说 明 书 里 毕竟 
只 写 了 设备 所 具有 的 功能 ， 何 况 在 需要 绝对 稳定 的 网 络 世 界 里 , “ 理 
解 ” 和 "操作 ”是 两 个 相去 其 远 的 不 同 概念 。 现 在 ， 不 仅 存 在 虚拟 环境 ， 
又 有 很 多 在 其 中 运行 的 虚拟 专用 机 试用 版 可 供 使 用 ， 和 以 往 相 比 ， 我 们 
可 以 更 方便 地 进行 葵 试 和 验证 。 所 以 ， 在 掌握 好 基础 部 分 之 后 ， 还 是 需 
要 自己 去 动手 设置 。 在 这 个 过 程 中 经 历 各 种 设置 和 各 色 问 题 后 ， 我 们 才 
能 迈 出 坚实 的 下 一 步 。 如 果 本 书 能 够 成 为 众多 从 事 网 络 工 作 的 工程 师 们 
前 进 的 路 标 ， 笔 者 定 当 备 感 弯 笠 。 




















本 书 适合 的 读者 
本 书 适合 以 下 几 类 读者 阅读 。 
想 要 设计 服务 器 端的 网 络 工程 师 


己 经 掌握 了 架构 和 测试 等 下 游 工程 的 工程 师 会 同 需 求 定义 和 基础 设计 这 
些 上 游 工程 转移 和 发 展 。 在 网 络 染 构 中 ， 基 础 设计 束 是 生命 线 ， 而 基础 
设计 中 制定 的 规则 决定 了 服务 器 端的 一 切 。 本 书 在 各 章 中 描述 了 基础 设 
计 中 应 该 确定 的 最 基本 的 内 容 ， 相 信 能 在 基础 设计 中 助 你 一 臂 之 力 。 


想 要 了 解 网 络 的 服务 器 工程 师 


如 今 ， 虚 拟 化 和 网 络 存储 等 技术 已 经 成 为 了 系统 中 不 可 或 缺 的 部 分 ， 这 
些 拉 术 大 多 采用 的 是 基于 网 络 的 框架 结构 ， 我 们 已 经 可 以 说 服务 器 和 网 
络 是 密 不 可 分 的 。 针 对 那些 说 着 “服务 缆 我 很 擅长 ， 但 网 络 就 不 太 展 
了 .…...” 的 、 稍 微 有 些 “ 偏 食 * 的 工程 师 们 ， 本 书 使 用 了 大 量 的 图 示 来 讲 
解 ， 一 定 会 让 你 喜欢 上 网 络 技术 的 。 


负责 服务 器 端 运行 和 管理 的 现场 管理 人 员 


在 长 期 的 现场 运行 中 ， 管 理 人 员 会 遇 到 种 种 问题 ， 例 如 服务 器 的 服务 出 
现 差 错 、 网 络 设备 损坏 ， 等 等 。 排 除 问题 的 捷径 只 有 一 条 ， 那 就 是 好 好 
学 习 基 础 技术 。 服 务 咒 问 是 一 个 由 诸多 基础 技术 拼接 而 成 的 世界 ， 本 书 
列举 了 一 些 架构 实例 ， 能 够 帮助 你 掌握 每 一 项 基础 技术 ， 最 终 拼 接 出 一 
个 完整 的 世界 。 
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本 书 的 执笔 得 力 于 多 方 人 士 的 大 力 协助 。 软 银 创 新 的 友 保 健 太 先 生 给 了 
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我 倾注 了 所 有 的 心力 ， 自 己 也 收获 鼎 丰 ， 因 此 备 感 三 生 有 注 。 为 外 还 有 
目 己 本 职工 作 很 已 ， 却 爽快 地 答应 我 将 旧作 《服务 需 负 载 均 衡 入 门 》 一 
书 的 创作 团队 重新 组 织 起 来 的 Taka 先生 、Yosshi 先生 ， 后 来 加 入 校对 
团队 的 Nari 先生 和 Yuka 女士 ， 以 及 擅长 层面 和 技能 都 不 相同 的 各 位 朋 
友 ， 正 是 因为 他 们 严格 地 把 关 ， 才 让 本 书 达到 了 能 够 在 实际 工作 中 派 上 
用 场 的 较 蜗 水准 。 

最 后 ， 感 谢 我 的 父母 和 妹妹 一 和 家人， 他 们 一 直 非 常 宽容 地 文 持 我 的 决定 
和 决心 ， 我 在 遥远 的 东京 祝愿 小 外 遇 悠 健康 成 长 。 还 要 感谢 红 蜂 览 的 店 
主 和 女 掌柜 ， 以 后 我 去 造访 时 也 要 一 如 既往 地 借 我 电源 用 哦 。 


2013 年 12 月 富田 宽 士 














第 0 章 本 书 的 用 法 
本 章 概要 


本 章 针 对 本 书 的 讲解 顺序 和 使 用 方法 进行 次 明 。 基 础 设计 是 服务 器 
端 网 络 架 构 中 最 重要 的 一 个 阶段 ， 本 书 将 立足 于 基础 设计 的 设计 细 
分 项 目 ， 介 绍 各 细 分 项 目的 相关 技术 和 设计 要 点 。 基 础 设计 中 会 制 
定 一 些 重要 规则 ， 这 些 规则 一 旦 定 下 便 不 可 动 播 ， 和 它们 对 系统 今后 
的 可 扩展 性 和 可 操作 性 等 ， 乃 至 对 整个 网 络 都 将 产生 重大 影响 。 为 
了 各 位 读者 今后 能 够 进行 着 眼 于 未 来 的 基础 设计 ， 首 先 请 通过 本 章 
了 解 如 何 使 用 本 书 。 











0.1 网 络 架 构 的 流程 


首先 说 明 一 下 网 络 架 构 的 大 致 流程 。 各 位 在 理解 了 网 络 架 构 的 大 致 流程 
之 后 ， 就 可 以 将 该 流程 与 本 书 的 核心 一 一 基础 设计 的 设计 细 分 项 目 和 本 
书 内 容 ( 拉 术 细 分 项 目 和 设计 细 分 项 目 ) 一 一 进行 匹配 。 


0.1.1 ”网络 架构 分 为 六 个 阶段 


普通 服务 器 并 的 网 络 染 构 由 六 个 阶段 构成 ， 分 别 为 需求 定义 、 基 础 设 
计 、 详 细 设 计 、 染 构 、 测 试 和 运行 。 各 个 阶段 并 非 完 全 独立 ， 而 是 前 一 
个 阶段 为 后 一 个 阶段 提供 输入 ， 彼 此 之 间 是 密切 相关 的 。 


0.1.1.1 需求 定义 


需求 定义 是 确认 客户 的 需求 并 将 它们 一 一 定义 出 来 的 阶段 。 客 户 会 给 出 
需求 方案 说 明 书 (RFP，Request For Proposal) 来 描述 他 们 的 需求 ， 但 
这 份 资料 中 只 有 需求 的 大 致 内 容 。 我 们 应 在 参考 这 份 资料 的 基础 上 上 听取 
i 
人 文 当 。 


0.1.1.2 ”基础 设计 


基础 设计 是 确定 各 要 去 设置 规则 的 阶段 。 如 果 网 络 设备 都 属于 同一 个 种 
类 ， 那 么 只 有 设置 方法 和 设置 对 象 不 一 样 而 已 ， 它 们 的 功能 应 该 是 大 同 
小 腊 的 。 所 以 可 以 这 么 说 ， 这 里 定 下 的 规则 决定 了 后 面 的 所 有 阶段 。 对 
网 络 染 构 来 说 ， 这 个 阶段 是 它 的 生命 线 。 我 们 应 将 这 里 制定 的 规则 整理 
成 一 份 叫 作 基 础 设计 书 的 文档 。 


0.1.1.3 ”详细 设计 


详细 设计 是 根据 基础 设计 中 的 信息 确定 各 机 器 参数 〈 设 定 值 ) 的 阶段 。 
毋 良 置疑， 设置 对 象 会 因 机 器 本 喘 、 机 器 种 类 和 OS 版 本 等 要 素 的 不 同 
而 各 不 相同 。 我 们 应 详细 规定 每 全 机 露 的 设 定 值 ， 保 证 无 论 是 谁 去 看 设 
计 书 都 能 够 完成 设置 ， 进 而 完成 系统 架构 。 我 们 还 应 将 这 里 制定 的 参数 
整理 成 一 份 叫 作 详 细 设 计 书 的 文档 。 




















不 同 的 企业 和 供应 丙 对 详细 设计 书 有 着 不 同 的 定义 。 有 的 把 记载 了 所 有 
参数 的 机 器 设置 书 和 参数 表 叫 作 详细 设计 书 ， 有 的 则 把 总 结 了 设 定 值 要 
点 的 资料 叫 作 详细 设计 书 ， 形 式 多 样 ， 不 一 而 足 。 所 以 ， 请 事先 回 客 户 
确认 好 他 们 需要 什么 样 的 详细 设计 书 。 


0.1.1.4 ”架构 


架构 是 根据 详细 设计 书 中 的 信息 《参数 、 设 定 值 ) 对 机 器 进行 设置 的 阶 
段 。 详 细 设 计 书 是 落实 设 定 值 的 资料 ， 而 在 架构 这 个 阶段 ， 我 们 就 要 利 
用 这 些 信息 对 机 器 进行 设置 和 连接 。 考 庸 置疑 ， 设 置 方 法 也 因 机 器 本 
号 、 机 器 种 类 和 OS 版 本 等 要 素 的 不 同 而 各 不 相同 。 我 们 应 根据 设置 人 
员 的 技术 水 平和 客户 的 要 求 编写 操作 手册 和 操作 检查 表 ， 将 操作 步 又 细 
化 ， 力 求 减少 设置 失误 。 


0.1.1.5 ”测试 


测试 是 指 在 完成 染 构 的 环境 中 进行 单元 测试 、 正 和 常 测试 、 故 障 ( 见 余 

化 ) 测试 等 各 种 测试 。 测 试 前 我 们 应 编写 测试 规格 说 明 书 和 测试 计划 

书 ， 然 后 根据 资料 中 的 测试 事项 进行 测试 ， 最 后 将 结果 整理 成 一 份 叫 作 
测试 报告 的 文档 。 


在 单元 测试 中 应 确认 例如 LED 能 否 正常 亮 灯 、OS 能 否 以 预想 的 版 本 下 
常 启动 、 接 口 能 否 衔接 等 事项 ， 以 此 来 确认 单机 是 否 能 正常 运行 。 


在 正常 测试 中 应 确认 机 器 在 连接 的 环境 中 是 否 按 我 们 设想 的 那样 接 通 、 
是 否 能 进行 应 用 通信 、 是 否 组 成 了 元 余 结 构 、 是 否 能 进行 Syslog、 
SNMP、NTP 等 管理 通信 等 事项 ， 以 此 来 确认 各 相关 机 器 能 否 彼此 协作 
运行 。 

在 故障 测试 中 应 针对 所 有 进行 了 宛 余 配置 的 设备 确认 如 下 事项 : 当 该 处 
发 生 故 障 时 能 否 继续 提供 服务 ， 出 现 故 障 时 会 发 送 怎样 的 日 志 ， 等 等 。 
0.1.1.6 ”运行 


运行 是 为 了 持续 稳定 地 提供 完成 染 构 的 系统 而 存在 的 阶段 。 并 不 是 架构 
完 系 统 束 万 事 大 吉 了， 而 从 这 里 才刚 刚 开始 起 步 ， 以 后 可 能 有 些 机 件 会 
损坏 ， 也 可 能 会 需要 新 增 服务 器 。 所 以 ， 除 了 日 常 操 作 之 外 我 们 还 应 多 
方 考 虑 ， 做 到 有 备 无 患 。 我 们 应 将 所 有 和 运行 相关 的 业务 整理 成 一 份 叫 



































作 运 行 手册 的 文档 。 







: 四 需求 定义 ; |! 
: 明确 客户 的 需求 并 逐一 定义 :i 


四 基础 设计 
确定 网 络 的 规则 


: 4 | 

: @ 详 细 设 计 : 

ee 

: 最 : |: 
最 


基础 设计 书 





a 可 作 手 册 
人 作业 检查 表 


: 团 架 构 
:| 。 根据 详细 设计 的 参数 进行 设置 


加 测试 
在 完成 架构 的 环境 里 进行 各 种 测试 


运行 手册 





图 0.1.1 网 络 架构 分 为 六 个 阶段 
0.1.2 网络 架构 的 重点 是 基础 设计 


网 络 染 构 中 最 重要 的 阶段 就 是 基础 设计 阶段 。 基 础 设计 中 确定 的 规则 对 
系统 以 后 的 可 扩展 性 和 可 操作 性 等 ， 乃 至 对 整个 网 络 痢 将 产生 重大 影 

啊 。 由 于 不 同 的 客户 对 基础 设计 的 程度 会 有 不 同 的 要 求 ， 我 们 应 在 一 开 
台 束 向 客户 确认 他 们 所 需要 的 程度 ， 然 后 根据 他 们 的 具体 要 求 进行 基础 
设计 。 如 宁 有 其 他 的 现 有 系统 存在 ， 不 妨 去 察看 一 下 该 系统 的 基础 设计 











书 ， 了 解 设 计 书 大 致 处 于 怎样 的 水 平 。 


关于 服务 器 端的 网 络 架构 ， 本 书 将 重点 介绍 基础 设计 这 一 最 重要 的 阶 
段 ， 并 对 各 设计 细 分 项 目 所 需 的 技术 和 设计 要 点 进行 说 明 。 普 通 服 务 器 
端的 网 络 架构 基础 设计 可 大 致 分 为 物理 设计 、 逻 辑 设 计 、 安 全 设计 与 负 
载 均 衡 设 计 、 高 可 用 性 设计 、 管 理 设计 这 五 个 设计 细 分 项 目 。 当 然 这 些 
只 是 一 般 的 例子 ， 设 计 细 分 项 目 会 因 客 户 需 求 、 服 务 性 质 等 的 不 同 而 不 
A 
; 代 加 。 


接 下 来 要 对 各 设计 细 分 项 目的 概要 以 及 本 书 中 与 各 设计 细 分 项 目 相关 的 
技术 细 分 项 目 和 设计 细 分 项 目 进 行 梳理 和 说 明 。 和 希望 尝试 物理 设计 的 读 
者 请 参看 第 1 章 ， 布 望 答 试 旬 辑 设计 的 读者 请 参看 第 2 章 。 
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图 0.1.2 本 书 的 结构 
0.1.2.1 物理 设计 


在 物理 设计 中 ， 我 们 要 定义 服务 器 端 所 有 实体 对 象 的 所 有 规则 。 实 体 对 
象 种 类 繁多 ， 从 线 缆 到 机 架 、 电 源 ， 这 些 都 是 实体 对 象 。 我 们 要 对 所 有 
的 实体 对 象 都 进行 严格 的 定义 。 


本 书 的 第 1 半 讲 述 物理 设计 ， 这 革 将 对 物理 设计 所 必需 的 技术 和 设计 要 
扩 进 行 说 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 
设计 细 分 项 目的 详细 内 容 请 参看 下 表 。 





表 0.1.1 本 书 中 与 物理 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 


对 实体 方面 进行 设计 |。 1.1 | 物理 层 的 技术 。 | 1.2 | 物理 设计 


物 建 没 计 规划 定义 物理 设计 的 整体 
族 则 


物 建 结构 没 计 如 何 连 接 各 会 读 疾 服务 高 端 有 丙种 结 


硬件 褐 成 设计 使 珊 什 么 机 赣 、 嘴 种 选用 设 毅 时 应 参 澡 
类 别 膀 音 两 的 最 大 值 
软件 煌 成 设计 合击 什 么 版 本 的 OS 选 奔 她 定 可 靠 的 
六 | 


1.5 ”和 连接 设计 在 何 处 、 如 售 连 该 


线 强 设计 在 何 处 、 使 丙 什 么 线 芽 WE 加 i 
规格 bd 


| 1.5.2 | 物理 连 扶 设计 | 如 何 设 灌 连 率 与 汉 工 国医 王国 
| 1.5.3 | 端口 分 配 设计 | 按 多 样 的 硕 序 使 有 如 D | 一 | 一 | 加 医生 
1.6 “设备 设计 如 何 便 征 机 撮 和 时 肖 一 


加 lb 各 体格 机 可 前 "| 一 | 巧妙 地 配置 设备 
ed es El EM 
0.1.2.2 逻辑 设计 


在 逻辑 设计 中 ， 我 们 要 定义 服务 露 端 所 有 逻辑 对 月 的 所 有 规则 。 任何 网 
络 都 是 立足 于 物理 上 的 逻辑 成 立 的 ， 我 们 应 对 如 何 划 分 VLAN、 如 何 分 
配 IP 地 址 等 规则 一 一 做 出 定义 。 


本 书 的 第 2 章 讲 述 逻 辑 设 计 ， 这 章 将 对 逻辑 设计 所 必需 的 技术 和 设计 要 
点 进行 次 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 
设计 细 分 项 目的 详细 内 容 请 参看 下 表 。 


表 0.1.2 本 书 中 与 逻辑 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 








2.1 | 膛 轮 没 计 帘 出 | 定 尽 逮 


ET | 
Bobad lenisnd > eS: 
| 
上 ) 
人 
2.2 设 ; ) 何 dl P| ee 4 2 1 ss 
.1.3 | ARP' 渔 运 辑 和 物理 关 
洽 到 一 起 


2.3 | IP 地 卉 没 计 ”| 如 何 分 配 坊 地 刘 2.1 | 现 络 是 由 网 终 层 拼接 | 2.3.2 | 在 考 串 数 星 增 减 的 
起 类 的 其 础 上 分 配 IP 地 志 
自动 设置 JP 地 下 的 
DHCP 

六 如 何 进 行路 径 选 餐 :2.2 | 海 爽 眉 连 污 起 夹 2.3.3 | 路 径 选 还 以 简 为 | 


用 于 故障 排 陈 的 ICMP 
2.5 | 地 址 转 挽 设计 如 何 转 挽 地 刘 2.2.3 | 转换 户 地 寻 2.3.4 | NAT 要 按 入 站 和 内 
站 分 别 考虑 


0.1.2.3 ”安全 设计 与 负载 均衡 设计 


在 安全 设计 中 ， 我 们 要 定义 防火 墙 的 基本 规则 。 当 今 ， 信 息 安 全 的 重要 
性 是 无 需 歼 言 的 。 在 安全 设计 中 制定 明白 易 懂 、 简 单 实用 的 安全 规则 可 
以 说 是 信息 安全 的 基础 。 此 外 ， 我 们 还 要 在 负载 均衡 设计 中 定义 服务 器 
的 负载 均衡 规则 。 近 来 ， 慰 呼 信息 量 加 速 猛 增 的 声音 不 绝 于 耳 ， 在 这 样 
的 背景 下 ， 服 务 器 人 负载 均衡 技术 有 了 慰 人 的 友 展 和 进步 。 可 以 这 么 认 
为 ， 在 所 有 的 大 规模 服务 器 端 ， 服 务 器 负载 均衡 技术 都 默默 无 闻 地 奉献 
着 一 己 之 力 。 在 负载 均衡 设计 中 ， 高 效 的 信息 量 负载 均衡 要 承担 两 个 重 
要 职责 ， 那 就 是 保障 服务 器 端的 可 扩展 性 和 灵活 性 。 


本 书 的 第 3 章 讲 述 安全 设计 与 负载 均衡 设计 ， 这 重 将 对 安全 设计 与 负载 
均衡 设计 所 必需 的 技术 和 设计 要 点 进行 说 明 。 本 来 将 它们 的 设计 细 分 项 
目 分 开讲 述 也 是 可 以 的 ， 不 过 因为 二 者 都 与 从 传输 层 到 应 用 层 的 技术 相 
天， 就 将 它们 合并 在 一 起 解说 了 ， 各 位 读者 可 根据 需要 将 它们 的 细 分 项 
目 分 开 阅 读 。 关 于 设计 细 分 项 目 和 本 书 中 与 之 相关 的 技术 细 分 项 目 以 及 
设计 细 分 项 目的 详细 内 容 请 参看 下 表 。 


表 0.1.3 本 书 中 与 安全 设计 、 负 载 均 衡 设计 相关 的 技术 细 分 项 目 和 设 


























计 细 分 项 目 


设计 妇 分 项 目 | 。 设计 概要 ”| 本 书 中 | 本 书 中 的 相关 设计 细 分 项 目 





3 教 据 安全 设计 与 负载 均 痪 没 计 | 进行 与 安全 和 负载 | ¢ 编 层 的 技术 教 据 安全 投 计 与 久 
从 估计 层 到 应 用 屋 载 泡 衡 没 计 
的 靶 术 
安全 设计 规则 定义 安全 设计 的 整 
体现 则 


ga 性 | 一 | 二 | 一 | 二 


还 信 上 需求 的 整 | 将 发 生 怎样 的 远 信 | 3.1.1 | 通过 端口 号 划分 服 
务 问 进程 
HTTP 支撑 着 互联 
豆 
| 22 开 SSL 保护 数据 
323 | 下 FTP 传 给 文件 
| 324 | 开 DNS 解 匆 名 称 


安 会 区域 设计 | 如 何 分 配 安 全 区 域 
安全 基本 规划 | 如 区 定义 安全 基本 
的 设计 规则 
负载 泡 奖 的 没 计 规 则 “| 定义 负载 泡 橙 设计 
的 整体 规则 


姐 何 进行 负载 准 村 | 一 


负载 均衡 眉 求 | 应 针对 什么 通信 进 通过 负载 雹 衡器 分 负载 均衡 没 计 
的 整理 散 服 务 况 的 负 共 

健康 检查 设 ; 

负 上 

持久 人 九 设 i 


对 象 没 计 如 何 定 义 网 站 对 象 用 防火 墙 守卫 系统 致 手 安 全 设计 
和 协议 对 象 


EEC 
加 FE 
P| 化 设计 | 使 用 什么 持久 化 方 
或 
0.1.2.4 ”高 可 用 性 设计 
在 高 可 用 性 设计 中 ， 我 们 要 定义 系统 见 余 的 相关 规则 。 服 务 器 端 大 多 设 
在 关键 任务 环境 中 ， 不 允许 出 现 服务 中 断 的 情况 ， 因 此 我 们 要 对 所 有 部 
分 进行 见 余 设计 ， 确 保 无 论 在 哪里 发 生 怎 样 的 故障 都 能 够 从 容 应 对 。 





本 书 的 第 4 草 讲 述 高 可 用 性 设计 ， 这 章 将 对 高 可 用 性 设计 所 必需 的 技术 
和 设计 要 点 进行 说 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 
分 项 目 和 设计 细 分 项 目的 详细 内 容 请 参看 下 表 。 


表 0.1.4 本 书 中 与 高 可 用 性 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 








4 高 可 市 性 设计 进行 高 可 下 性 相关 的 设计 | 4.1 | 砚 作 技术 。 | 4.2 | 高 可 再 性 设计 


4.1 | 高 可 用 性 设计 现 则 | 定义 高 可 十 性 设计 的 葡 
体现 则 


| 4.2 | 链接 宛 余 设 计 使 用 哪 种 链接 匈 余 方式 


机 箱 究 剑 设计 使 市 帘 种 机箱 元 剑 方 式 


STP 设 计 使 用 三 种 STP 模式、 使 数据 庆 路 层 的 完 会 
衣 娜 种 奖 搞 机 进行 引 季 技术 
侨 接 

FHRP 设计 使 用 嗓 种 FHRP、 激 活 | 413 | 现 络 屋 的 宛 祭 靶 术 
哪个 L3 交换 机 


和 由 协议 完 余 设计 | 使 证 娜 种 路 由 协议 实现 
爷 余 


防火 境 元 会 设计 ”| 如 局 实现 防火 培 过 全 从 们 给 层 对 应 开 乱 


加 负 蔓 均 街 必 的 宛 祭 | 如 何 侨 现 负载 汐 短 强 宛 余 
设计 


49 ” 涌 信 流浪 将 会 发 生 怎样 的 通信 流 


正常 情况 时 经 过 臣 样 的 2.2 | 理 清 通 售 流 
议 由 


绰 常 情况 时 坚 过 怎 粒 的 
路 白 
0.1.2.5 ”管理 设计 


在 管理 设计 中 ， 我 们 要 定义 与 服务 器 端 运行 管理 相关 的 所 有 规则 。 管 理 
设计 中 的 严格 规定 直接 影响 后 面 运行 阶段 的 可 操作 性 和 可 扩展 性 。 

本 书 的 第 5 章 讲 述 管理 设计 ， 这 章 将 对 管理 设计 所 必需 的 技术 和 设计 要 
点 进行 次 明 。 关 于 设计 细 分 项 目 以 及 本 书 中 与 之 相关 的 技术 细 分 项 目 和 
设计 细 分 项 目的 详细 内 容 请 参看 下 表 。 


表 0.1.5 本 书 中 与 管理 设计 相关 的 技术 细 分 项 目 和 设计 细 分 项 目 











进行 运行 管理 相关 的 


| 管理 设计 规则 。 | 定义 管理 设计 的 整体 
现 则 


| 5.2 | 主机 各 设计 。 | 定义 怎样 的 主机 各 :主机 4 
5.3 ”标签 没 计 粘贴 怎样 的 标 答 一 | 通过 标签 管理 连接 


款 签 


在 机 体 上 粘贴 怎样 的 
标签 


wh le | -| | le | 


兰 份 与 修复 设计 | 如 和 何 备份 设置 、 旭 何 管理 设置 信息 
| 进行 收复 


Sysiog 设计 在 何 处 定义 Sysiog 昭 用 Sysiog 探测 故障 
务 器 、 使 用 什么 丢 疗 权 
坊 和 严重 性 





第 1 章 物理 设计 
本 章 概 要 


本 章 主 要 介绍 用 于 服务 器 端的 物理 层 技术 、 使 用 该 技术 时 的 设计 要 
点 以 及 一 般 的 物理 结构 类 型 。 


在 服务 器 器 ， 我 们 能 看 到 的 物体 只 有 机 架 、 线 缆 、 端 口 等 具有 物理 
性 质 的 东西 。 正 因 如 此 ， 我 们 要 充分 理解 它们 的 技术 和 规格 ， 做 出 
符合 客户 需求 的 设计 。 物 理 层 中 的 严格 设计 会 深 深 影响 系统 今后 的 
可 扩展 性 和 运行 管理 性 。 


1.1 物理 层 的 技术 


物理 层 是 所 有 网 络 技术 的 根基 。 如 今 ， 随 着 网 络 的 高 速 发 展 ， 存 储 数 
据 、 音 频数 据 等 各 种 各 样 的 数据 都 已 经 能 够 在 网 络 中 流通 。 所 有 的 这 些 
数据 信息 都 需要 经 过 物理 层 才 能 流通 ， 如 果 没 有 物理 屋 ， 网 络 就 无 法 连 
通 ， 我 们 就 不 能 收发 邮件 ， 也 不 能 连接 互联 网 。 


1.1.1 物理 层 里 有 多 种 规格 


正如 其 名 ， 物 理 层 是 承担 着 通信 任务 的 所 有 物理 实体 所 在 的 层 ， 位 于 
OSI 参考 模型 的 最 下 层 。 它 的 名 字 和 其 他 层 比 起 来 似乎 有 点 一 本 正经 ， 
不 过 不 用 想 得 太 复杂 。 在 公司 和 学 校 我 们 常 常 能 看 到 LAN 网 线 ， 把 
LAN 网 线 理 解 成 物理 层 就 行 了 。 如 采用 的 是 无 线 LAN， 那 就 把 信号 理 
解 成 物理 层 好 了 。 


计算 机 的 世界 是 由 0 和 1 这 两 个 数字 构成 的 。0 和 工 叫 作 比特 ， 连 续 的 
比特 叫 作 比特 流 。 数 据 链 路 层 癌 物理 层 发 送 由 0 和 1 构成 的 数据 

( 帧 )， 物 理 层 接收 后 将 它们 转换 为 电信 号 和 光 信 和 号。 物理 层 中 规定 了 
数据 在 传输 媒介 〈 线 绕 ) 中 的 流动 规则 ， 还 对 所 有 物理 性 质 的 要 素 做 了 
规定 ， 如 线 线 的 材质 、 连 接 喜 的 形状 、PIN 的 接 法 等 。 














图 1.1.1 通过 物理 层 数 据 在 传输 媒介 中 流动 


1.1.1.1 规格 整理 好 后 物理 层 就 会 水 落石 出 


在 讲解 物理 层 的 要 点 时 会 出 现 大 量 的 规格 名 称 。 因 此 ， 我 们 先 来 整理 一 
下 规格 。 规 格 整理 好 了 ， 物 理 层 也 就 整理 好 了 ， 大 家 也 就 能 够 理解 了 。 


物理 层 的 标准 化 并 不 是 在 自身 范围 内 完成 的 ， 而 是 和 数据 链 路 层 在 一 起 
成 套 实 现 的 ， 整 理 规格 时 要 将 这 点 考虑 进去 。 有 一 个 叫 作 正 EE802 委员 
会 的 国际 标准 化 组 织 对 物理 层 和 数据 链 路 层 的 相关 技术 标准 化 起 到 了 推 
动 和 促进 作用 。IEEE802 委员 会 下 设 很 多 工作 组 (WG,，Working 
Group) ， 负 责 探讨 不 同 的 专业 领域 ， 人 们 以 委员 会 名 后 面 加 上 小 数 
点 ， 即 类 似 IEEE802.1 这 样 的 命名 形式 来 区 分 它们 。 而 工作 组 制定 出 的 
标准 则 会 进一步 在 后 面 加 上 英文 字母 ， 即 以 IEEE802.1x 这 样 的 形式 来 
命名 。 工 作 组 数量 极 多 ， 有 的 已 经 停止 活动 ， 有 的 甚至 早已 解散 ， 所 以 
我 们 没有 必要 去 掌握 所 有 的 规格 。 在 理解 了 物理 层 之 后 ， 我 们 只 要 掌握 
两 个 关键 标准 就 足够 了 ， 一 个 是 以 太 网 (Ethernet) 标准 IEEE802.3， 男 
一 个 则 是 无 线 LAN 标准 IEEE802.11。 只 要 掌握 好 它们 ， 基 本 上 就 可 以 
应 对 所 有 的 网 络 了 。 本 书 仅 涉及 服务 器 端 需要 用 到 的 以 太 网 。 




















3 IEEE80211 姥 接 ] 


IEEESQ2.3 IEEESO2 11 
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图 1.1.2 要 掌握 IEEE802.3 和 IEEE802.11 
以 太 网 标准 男 有 称呼 
以 太 网 是 处 理 物理 层 和 数据 链 路 层 的 一 种 标准 。 在 现代 网 络 的 事实 标准 


中 ， 可 以 说 目前 大 部 分 有 线 LAN 环境 都 是 以 太 网 。IEEE802 委员 会 规 
定 用 IEEE802.3 对 以 太 网 进行 标准 化 管理 。 


IEEE802.3 中 有 多 种 标准 ， 都 是 在 IEEE802.3 后 面 加 上 不 同 的 英文 字母 
命名 的 。 然 而 在 以 太 网 中 这 些 标准 名 称 几乎 不 怎么 用 ， 人 们 一 般 用 表示 
这 些 标 准 概要 的 别名 来 称呼 它们 。 例 如 ， 使 用 双 绞 线 电 绕 的 千 兆 位 以 太 
网 标准 是 IEEE802.3ab， 别 名 叫 作 1000BASE-T。 大 多 数 场合 人 们 都 不 
用 IEEE802.3ab 这 个 名 字 而 是 称呼 它 为 1000BASE-T。 下 表 中 列 出 了 各 
种 标准 的 名 称 和 它们 所 对 应 的 别名 ， 一 般 来 说 ， 看 别名 就 能 大 致 了 解 这 
是 怎样 的 规格 。 


表 1.1.1 人 们 第 常用 别名 来 称呼 以 太 网 


SASE 后 须 吉 果 是 届 文 字 人 由 ， 雪 去 千 扒 燃 介 竣 震 
光 纳 种 壬 3 


传输 媒介 激光 的 种 类 
同 轴 电 缆 


SASE 后 面 接 数 学 讨 表 元 距 志 100BASE-TX 
IEEE802.3u 


1960BASE-T 1660BASE-SX 1000BASE-LX 
BASE 前 而 的 歼 字 表示 和 传 丢 漆 朗 
IEEE802.38b IEEE802.3z 上 EEE802.3z 
10 10Mbivs 


00 100Mbiys 
1000 1Gbit/s 10GBASE-T 10GBASE-SA 10GBASE-LR 
10G 10GbiUs 

IEEE802.3an IEEE802.3ae IEEE802.3ae 


由 于 网 络 的 急速 发 展 ， 物 理 层 里 存在 着 大 量 纷 杂 的 通信 媒介 和 标准 。 光 
是 讲解 传输 编码 和 信号 转换 方式 的 内 容 束 足够 出 一 本 书 了 ， 是 见 其 高 

深 。 不 过 ， 设 计 和 架构 有 线 LAN 的 时 候 只 需要 注意 两 点 ， 那 就 是 线 缆 
和 和 连接 串 。 下 面 会 针对 这 两 个 要点 ， 结 合 它们 各 自 对 应 的 标准 进行 详细 
说 明 。 
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在 物理 层 一 般 使 用 双 绞 线 电缆 和 光纤 光线 这 两 种 线 线 。 线 缆 不 同 ， 使 用 
的 连接 器 也 不 同 ， 因 此 本 书 会 在 介绍 线 费时 一 并 说 明 连接 器 的 相关 内 
容 。 














SI 1 Step ljndsx， 阶 系 ) 者 


图 1.1.3 用 于 有 线 LAN 的 两 种 常见 线 缆 
表 1.1.2 双 绞 线 电 缆 和 光纤 光缆 的 比较 


比较 事项 双 绞 线 电 凡 








传输 媒介 的 材质 


信号 的 衰减 








1.1.1.2” 双 丝线 电缆 有 两 大 要 紊 一 “类 和 传输 距离 


首先 我 们 来 看 双 绞 线 电 统 。 双 弘 线 电 绕 采用 ooBASE-T 或 ooBASE-TX 
这 样 的 标准 。ooBASE-T 的 TT 是 双 绞 线 电 缆 的 英文 Twisted-Pair Cable 
的 第 一 个 字母 。 


双 绥 线 电缆 看 起 来 是 一 根 电 缆 ， 但 实际 上 是 八 根 铜 线 ， 每 两 根 〈 双 ) 相 
互 缠 绕 ( 绞 ) ， 最 后 再 全 部 绞 合 成 一 整 根 线 绕 。 双 绞 线 电 比分 两 种 ， 一 
种 是 线 线 部 分 用 铝箔 等 材质 做 了 绝缘 处 理 的 STP (Shielded Twist Pair， 

屏蔽 双 经 线 ) 电缆， 另 一 种 是 没 做 绝缘 处 理 的 UTP (Unshielded Twist 

Pair， 非 屏蔽 双 绞 线 ) 电缆 。 


常见 的 LAN 网 线 是 UTP 电缆 


UTP 电 统 就 是 我 们 常 说 的 LAN 网 线 ， 在 公司 、 家 性 和 家 电 商 场 等 地 方 
经 常 能 看 到 它们 的 映 影 ， 应 该 是 我 们 最 为 熟识 的 线 统 。UTP 电线 因为 使 
用 方便 、 价 格 便宜 ， 获 得 了 爆发 性 的 普及 。 最 近 颜色 也 变 得 多 种 多 样 
了 ， 而 且 更 加 纤细 ， 外 形 也 华丽 了 许多 。 但 是 这 种 电缆 不 抗 电磁 干扰 ， 
所 以 不 适合 在 工厂 等 电磁 干扰 较 多 的 环境 中 使 用 。 


STP 电 绕 则 克服 了 不 抗 电磁 干扰 这 个 缺 扣 。 这 种 电 绕 做 了 绝 毕 处 理 ， 有 
效 地 减轻 了 内 外 部 电磁 干扰 ， 然 而 美中不足 的 是 绝缘 处 理 使 得 电线 用 起 
来 不 太 方 便 ， 因 此 ， 目 前 只 有 在 工厂 等 条 件 恶 务 的 环境 中 人 们 才 会 用 到 
它 ， 服 务 器 端 基本 上 并 无 它 的 用 武之 地 。 
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STP 对 狂 堵 做 了 涩 妹 处 理 ， UTR 入 公 寺 是 用 型 类 外 去 
夫 面 简 益 篇 双料 外 皮 属 控 浅 六 着 毁 涛 





图 1.1.4 UTP 和 STP 的 差异 在 于 是 否 做 了 绝缘 处 理 
类 的 数字 越 大 传输 速度 就 越 快 





在 双 绞 线 电缆 中 有 一 个 “类 ”的 概念 。 仔 细 观 察 家 电 丙 店 里 卖 的 LAN 网 
线 规格 表 就 会 发 现 ， 上 面 印 着 6 类 、5 类 这 样 的 标记 。 这 个 类 代表 传输 
速度 ， 类 的 数字 越 大 传输 速度 束 越 大 。 


目前 以 太 网 环境 使 用 的 类 都 不 低 于 5，1 到 4 类 的 线 统 无 法 支持 
100BASE-TX、1000BASE-T 这 样 比 较 新 的 标准 。 因 此 ， 如 果 你 想 要 迁 
移 到 目前 主流 的 高 速 以 太 网 环境 ， 同 时 还 要 沿用 旧式 的 线 缆 环 境 ， 就 需 
要 注意 确认 各 种 线 缆 对 应 的 规格 。 

当 铜 线 根 数 〈 铜 线 芯 数 ) 较 少 时 尤其 需要 注意 。 例 如 ，3 类 线 费 只 有 4 
根 铜 线 芯 ， 而 1000BASE-T 需要 用 到 8 根 铜 线 芯 以 提高 吞吐 率 。 所 以 在 
沿用 3 类 线 缆 环 境 的 前 提 下 向 1000BASE-T 环境 迁移 的 话 ， 连 对 接 都 完 
成 不 了 ， 在 架构 现场 就 会 窘 态 百出 。 我 们 必须 在 相应 的 时 机 将 整个 线 缆 
环境 全 部 蔡 换 掉 才 行 。 


各 类 电 级 及 其 对 应 的 规格 请 参看 下 表 。 一 定 要 确认 无 误 之 后 再 去 选择 使 
用 什么 样 的 双 绞 线 电 统 。 


表 1.1.3 类 的 数字 越 大 传输 速度 就 越 快 


铜 线 芯 | 对 应 的 频 | 主要 对 应 的 | 最 高 传输 _ 
| am 大 = | 


3 ren 4 心 2 对 |16Mbit/s |10BASE-T 16Mbit/s 

















omen 4 芯 2 对 |20MHz | 令 牌 环 网 20Mbit/s 
加 区 8 芯 4 对 | 100MHz |100BASE-TX |100Mbit/s 


和 | mm 8 心 4 对 |100MHz |100BASE-T |1Gbit/s 
2 


100m 
55m (10GBASE-T 
时 ) 





1000BASE-T |1Gbit/s 


6 类 |UTP/STP |8 尼 4 对 |250MHz |10GBASE-T |10Gbit/s 


or 8 心 4 对 |500MHz |10GBASE-T |10Gbit/s 
ER 





根据 不 同情 况 选 择 使 用 直通 线 或 交叉 线 


在 双 绞 线 电 统 中 ， 除 了 类 之 外 还 有 直通 线 和 交叉 线 这 两 个 概念 。 它 们 的 
外 表 可 以 说 坚 无 二 致 ， 不 同 之 处 在 于 从 名 为 RJ-45 的 连接 露 部 位 隐约 能 
看 到 的 铜 线 排列 。 


直通 线 和 交叉 线 与 名 为 MDI 和 MDI-X 的 两 种 物理 端口 类 型 有 着 密切 的 
关系 。 前 面 已 经 介绍 过 ， 双 绞 线 电 统 是 将 八 根 铜 线 按 每 两 根 ( 双 )〉 相互 
缠绕 ( 绞 ) 的 方式 绞 合 ， 最 后 再 全 部 绞 合 成 一 整 根 线 绕 的 。 服 务 器 、 
PC 的 网 卡 和 交换 机 的 物理 端口 中 有 8 个 PIN， 用 于 接收 八 根 铜 线 ， 从 
左 至 右 都 有 相应 的 编号 ， 而 且 各 有 各 的 作用 。 














端口 的 插口 
图 1.1.5 物理 端口 中 有 8 个 PIN 


在 100BASE-TX 中 ，MDI 端口 通过 1 号 和 2 号 PIN 发 送信 息 ， 通 过 3 
号 和 6 号 PIN 接收 信息 ， 剩 余 的 PIN (4 号 、5 号 、7 号 、8 号 ) 并 不 使 
用 。PC 和 服务 器 的 网 卡 ， 还 有 路 由 器 的 物理 端口 都 是 MDI 端口 。MDI- 


X 端口 则 和 MDI 端口 恰恰 相反 ， 通 过 1 号 和 2 号 PIN 接收 信息 ， 通 过 
3 号 和 6 号 PIN 发 送信 息 。L2 交换 机 和 L3 交换 机 的 物理 端口 是 MDI-X 
wi 


服务 器 和 PC 的 网 卡 





发 送信 息 {+) 


接收 信息 {+) 
| >| 





图 1.1.6 PC 和 服务 器 的 网 卡 是 MDI 端口 


交换 机 的 物理 喘 吕 





图 1.1.7 交换 机 的 物理 端口 是 MDI-X 端口 
数据 传递 时 ， 一 方 发 送 了 信息 ， 男 一 方 必然 就 会 接收 信息 。 如 果 双 方 都 





要 接收 信息 ， 就 会 变 成 对 峙 的 状态 ， 而 如 果 双 方 都 要 发 送信 息 ， 数 据 就 
会 发 生 冲 突 。 因 此 ， 当 双 绞 线 电 缆 中 的 铜 线 是 平行 排列 的 情况 时 ， 就 必 
须 将 MDI 与 MDI-X 连接 起 来 。 这 样 ，MDI 发 送信 息 则 MDI-X 接收 信 


晨 ，MDI-X 发 送信 息 则 MDI 接收 信息 。 这 种 铜 线 为 平行 排列 状态 的 线 
绕 叫 作 直 通 线 。 举 个 例子 ， 当 PC 或 服务 器 连接 到 交换 机 上 时 ，MDI 和 
MDI-X 的 上 述 关 系 成 立 ， 所 以 可 以 使 用 直通 线 。 


习 换 机 的 物 王 弱 口 
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i PIN 发送 信息 和 接收 信息 的 
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图 1.1.8 MDI 和 MDI-X 使 用 直通 线 连接 


然而 ，MDI 和 MDI-X 的 上 述 关 系 并 非 在 所 有 连接 环境 中 都 是 成 立 的 。 
有 计算 机 之 间 互 联 的 情况 ， 也 有 交换 机 之 间 互 联 的 情况 。 这 些 情况 下 ， 
收发 信息 的 关系 并 不 成 立 ， 连 对 接 都 无 法 实现 。 


那么 该 怎么 办 呢 ? 遇 到 这 种 情况 ， 把 布线 改 一 改 就 好 了 。 这 时 候 我 们 需 
要 用 到 的 就 是 交叉 线 ， 交 叉 线 的 钢 线 配置 在 内 部 恰好 是 相互 题 倒 的 ， 这 
样 即使 端口 类 型 相同 也 能 形成 收发 信息 的 关系 。 于 是 ， 计 算 机 之 间 的 互 
联 也 好 ， 交 换 机 之 间 的 互联 也 好 ， 融 都 能 形成 彼此 收发 信息 的 关系 了 。 




















交换 机 的 物 惠 沿 口 交换 机 的 物理 庙 司 
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图 1.1.9 ”端口 类 型 相同 时 应 使 用 交叉 线 连接 


上 面 介 绍 了 直通 线 和 区 叉 线 ， 但 实际 上 人 们 最 近 不 太 使 用 交叉 线 了 ， 这 
是 为 什么 昵 ? 以 前 人 们 对 直通 线 和 交叉 线 做 了 严格 的 使 用 区 分 ， 可 是 这 
种 严格 的 使 用 区 分 却 带 来 了 意 想不到 的 麻烦 ， 慢 慢 地 反而 变 成 了 问题 的 
根源 。 这 里 要 用 交叉 线 、 那 里 要 用 直通 线 ..…. 像 这 样 指定 在 哪里 用 什么 
线 是 非 营 麻烦 的 ， 在 架构 大 规模 的 网 络 环境 帝 时 也 的 确 很 咒 事 。 在 这 样 的 
背景 下 ， 出 现 了 有 具有 能 够 自动 识别 端口 类 型 功能 (Auto MDIMDI-X) 

的 交换 机 。 Auto MDIMDLX 功能 能 够 自动 识别 对 方 的 端 口 类 型 ， 并 根 
据 该 类 型 将 收 信 器 和 发 信 器 进行 调换 。 有 了 这 项 功能 ， 同 样 的 端口 类 型 
也 能 够 使 用 直通 线 ， 就 无 需 用 到 交叉 线 了 。 最 近 的 大 多 数 机 器 都 具备 
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交换 机 的 物 连 商 握 
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图 1.1.10 使 用 Auto MDLIMDI-X 功能 的 话 任何 情况 都 能 用 直通 线 连 
接 


在 1000BASE-T 中 八 根 铜 线 都 会 用 到 


在 100BASE-TX 中 ，MDI 端口 通过 1 号 和 2 号 PIN 发 送信 息 ， 通 过 3 
号 和 6 号 PIN 接收 信息 ， 剩 余 的 PIN (4 号、5 号 、7 号 、8 号 ) 并 不 使 
用 。 这 时 候 ， 双 绞 线 电缆 里 虽然 有 八 根 铜 线 却 只 能 用 到 一 半 ， 剩 下 的 四 
个 PIN 用 不 上 ， 非 常 浪费 。 而 在 1000BASE-T 中 ， 剩 余 的 四 个 PIN 也 
能 用 在 数据 通信 上 以 提高 吞吐 率 ， 它 是 千 兆 位 以 太 网 环境 中 最 常用 的 标 
准 。IEEE802 委员 会 赋予 1000BASE-T 的 名 字 为 IEEE802.3ab。 


1000BASE-T 的 通信 并 不 像 100BASE-TX 那样 将 收发 信 分 开 处 理 ， 而 是 
用 同样 的 PIN 进行 数据 收发 。 收 发 器 和 PIN 之 间 有 一 个 混合 电路 板 ， 
在 那里 将 发 送 的 数据 和 接收 的 数据 分 开 ， 然 后 分 别 交 给 发 信 器 和 收 信 
器 。 在 100BASE-TX 中 1 号 和 2 号 PIN 是 用 于 发 信 的 ， 而 在 
1000BASE-T 中 ，1 号 和 2 号 PIN 既 能 用 于 收 信也 能 用 于 发 信 。1 号 和 2 
号 PIN 进行 收发 、3 号 和 6 号 PIN 进行 收发 、4 号 和 5 号 PIN 进行 收 
发 、7 号 和 8 号 PIN 进行 收发 一 就 像 这 样 ， 四 对 PIN 都 能 进行 数据 收 
发 ， 由 此 实现 了 1Gbits 的 高 速 通 信 。 
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和 
和 接收 的 数 播 分 并 
图 1.1.11 在 1000BASE-T 中 八 根 铜 线 都 会 用 到 


相 邻 机 器 的 速率 和 双 工 设置 应 保持 一 臻 
人 至此， 我 们 对 双 丝 线 电 线索 琐 而 又 深奥 的 结构 做 了 说 明 。 不 过 ， 物 理 层 





中 受制 于 线 绕 和 网 卡 这 些 硬件 的 地 方 很 多 ， 实 际 设 置 网 络 设备 时 未 必 有 
那么 多 的 设置 细 分 项 目 。 我 们 在 使 用 双 绞 线 电 统 时 只 需 注 意 两 处 设置 即 
ee ee eb 
村 一 致 。 


正如 其 名 ， 速 率 表 示 传 输 的 速度 。 我 们 应 配合 服务 器 网 卡 和 网 络 设备 的 
物理 端口 将 它 设 置 成 100Mbit/s、1000Mbit/s 等 值 。 


双 工 是 指 双向 通信 的 方式 。 在 网 络 的 世界 里 不 存在 单方 通信 ， 只 有 双向 
通信 。 双 工 表 示 的 就 是 双 癌 通信 成 立 的 方式 ， 它 分 半 双 工 (half 
duplex) 和 全 双 工 〈full duplex) 两 种 。 半 双 工 通信 在 同一 时 刻 只 能 进行 
单 向 通信 ， 需 要 通过 调换 方向 的 方式 才能 使 双向 通信 成 立 。 以 前 人 们 用 
10BASE2、10BASE5 这 样 的 旧 规 格 ， 但 现在 不 会 刻意 设置 成 那样 了 。 
在 10GBASE-T 中 ， 连 半 双 工 这 个 概念 都 已 经 不 复 存 在 了 。 这 是 因为 如 
果 采 用 半 双 工 通 信 ， 在 收发 批量 文件 等 情况 时 会 发 生 错误 ， 吞 吐 率 无 法 
提升 。 与 此 相对 ， 全 双 工 通信 则 是 同时 进行 收发 处 理 来 使 双向 通信 成 立 
的 ， 分 别 设 有 不 同 的 信道 发 送 和 接收 信息 。 目 前 ， 全 双 工 已 经 成 为 唯一 
的 标准 通信 方式 ， 端 口 的 设置 必须 符合 全 双 工 通信 的 条 件 才 行 。 




















有 有 一 条 传 炉 线路 


而 不 能 发 送信 息 





图 1.1.12 半 双 工 通 信 只 有 一 条 传输 线路 





图 1.1.13 全 双 工 通信 有 两 条 传输 线路 


速率 和 双 工 有 和 手动 设置 和 自动 ( 自 协 商 ) 设置 两 种 设置 方法 ， 无 论 采 用 
哪 种 方法 ， 我 们 都 要 保持 两 端 设 备 的 设置 一 致 。 


1000Mbiys | .1000Mbitls/ 会 双 工 | 1000Mbit/s 
全 双 工 全 双 工 


1000Mboit/s/ 全 双 工 | 


TT 








1000BASE-T 


图 1.1.14 请 务必 确保 两 端 设 备 的 速率 和 双 工 设置 一 至 


手动 设置 两 站 的 端口 时 ， 速 率 如 采 设 置 得 不 一 致 ， 会 连 对 接 都 无 法 完 
成 而 双 工 如 果 不 一 致 ， 则 对 接 虽 然 能 完成 但 基本 上 无 法 进行 通信 。 






1000Mbits | 多 -一 100Mbit/s 
全 双 工 全 双 工 “ |- 





图 1.1.15 手动 设置 时 如 果 速 率 或 双 工 设 得 不 一 致 将 无 法 进行 通信 


采用 自动 设置 〈 自 协商 ) 时 也 要 注意 。 自 动 设置 是 通过 交换 FLP (Fast 
Link Pulse， 人 快速 连接 脉冲 ) 信号 来 决定 速率 和 双 工 的 ， 通 过 FLP 交换 
彼此 支持 的 速率 和 双 工 ， 然 后 按照 预先 决定 好 的 优先 顺序 来 决定 速率 和 
双 工 。 
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图 1.1.16 ”互相 交换 信号 以 决定 速率 和 双 工 


当 两 并 部 及 用 上 自动 设置 时 ， 结 果 必 然 是 选择 全 双 工 ， 这 没有 什么 问题 。 
但 是 ， 如 果 只 有 一 端 及 用 了 自动 设置 ， 那么 系统 将 会 选择 默认 的 双 工 设 


置 一 半 双 工 。 这 是 因为 当 发 送 的 是 FLP 信号 而 返回 的 却 是 非 FLP 信 
号 时 ， 系 统 就 会 选择 半 双 工 模式 。 这 时 候 吞吐 率 是 提升 无 望 的 ， 所 以 如 
果 一 端 采 用 了 自动 设置 ， 另 一 端 就 一 定 也 要 采用 自动 设置 ， 这 个 原则 我 
们 绝对 要 遵守 。 





可 以 对 接 ,不 过 是 


和 洲 双 工 通 信 
自动 设置 





最 终 系统 会 选择 190Mbis | .100Mbit/s/ 六 双 工 | 100Mbit/s 
半 双 工 通信 半 双 工 全 双 工 


= 交换 机 





(DD 支持 100BASE=:TX/ 全 汉 士 和 名 因为 是 不 明 情 况 ,所 以 
1008ASETX 半 双 工 会 返回 室 闲 信号 

合 耸 不 清 是 半 双 工 还 是 全 双 工 ; 
所 以 最 后 会 选择 半 双 下 


图 1.1.17 采用 自动 设置 时 要 注意 ! 
双 弘 线 电 统 的 最 大 传输 距离 为 100 米 


双 绞 线 电 绕 是 目前 最 第 用 的 布线 材料 ， 但 它 有 一 个 致命 的 弱点 ， 那 束 是 
传输 距离 非常 有 限 。 从 规格 上 来 说 ， 双 绞 线 电缆 最 多 只 能 延伸 到 100 米 
处 ， 如 果 延 伸 到 100 米 之 外 ， 电 信号 会 衰减 ， 数 据 会 消失 ， 所 以 超过 

100 米 时 必须 设置 交换 机 等 中 转机 器 以 延长 传输 距离 。 布 线 时 考虑 到 这 
个 最 大 传输 距离 是 极其 重要 的 。 有 人 也 许 会 觉得 有 100 米 足 够 了 ， 但 是 
电 级 需要 闭 入 导管 ， 布 线 时 会 遇 到 障碍 物 ， 由 于 建筑 物 的 茶 些 原因 而 不 
得 不 迁 回 布线 的 情况 也 很 多 ， 你 会 意外 地 发 现 100 米 其 实 很 短 。 所 以 我 
们 应 仔细 确认 布线 线路 ， 将 总 长 度 控 制 在 100 米 之 内 。 当 然 ， 你 也 可 以 
通过 中 转机 右 让 它 得 以 无 限 延 促 。 不 过 那样 的 话 ， 今 后 需要 进行 运行 管 
理 的 机 器 将 会 增加 ， 故 障 点 也 会 增加 ， 总 体 来 说 并 不 实用 。 遇 到 这 种 情 
况 ， 我 们 应 使 用 光纤 光线， 至 于 光纤 光缆 ， 将 在 下 个 小 节 为 大 家 说 明 。 








用 中 继 集线器 抓 包 

在 物理 层 设 备 中 ， 最 具 实 用 性 的 就 是 中 继 集线器 了 。 中 继 集线器 的 功能 
非常 简单 ， 它 将 端口 接收 到 的 信号 复制 并 发 送 给 所 有 端口 。 由 于 是 将 数 
据 发 送 给 所 有 奖 口 ， 所 以 与 该 中 继 集线器 连接 的 所 有 端口 都 会 接收 到 和 





自己 并 不 相干 的 数据 ， 从 通信 和 量 的 角度 来 说 这 样 做 的 效率 并 不 高 。 最 
近 ， 中 继 集线器 大 多 已 被 交换 集线器 所 答 代 ， 儿 乎 很 少 能 见 到 了 ， 作 为 
支持 数据 通信 的 集线器 这 个 角色 ， 我 们 可 以 认为 它 已 经 走 到 了 终点 。 





图 只 有 真正 相关 的 PC 


图 1.1.18 中 继 集线器 将 复制 的 信号 发 送 给 所 有 的 端口 


中 继 集 线 器 的 真 本 领 在 于 故障 排除 。 我 们 在 需要 抓 包 的 PC 或 服务 右 之 
间 插 入 中 继 集线器 ， 然 后 在 同 列 中 配置 好 另 一 台 PC， 就 能 接收 到 机 器 
之 间 交 换 的 信号 。 接 收 到 的 数码 信号 可 用 Wireshark、EtherPeek 这 样 的 
专用 软件 进行 截取 和 分 析 。 使 用 中 继 集 线 器 时 能 够 顺利 抓 包 而 不 改变 现 
有 机 器 的 设置 。 因 此 ， 在 细 化 到 比特 流程 度 的 故障 排除 中 ， 它 总 是 能 够 
发 挥 上 自己 真正 的 本 领 。 





图 1.1.19 ”通过 中 继 集线器 排除 故障 
1.1.1.3 ”光纤 光缆 是 用 玻璃 制 成 的 





接 下 来 ， 我 们 来 看 光纤 光 绩 。 光 纤 光 费 的 规格 为 oo BASE-SX/SR 或 oo 
BASE-LX/LR。oo BASE-SX/SR 中 的 S 是 Short Wavelength〔 短 波长) 
中 的 S，oo BASE-LX/LR 中 的 工 是 Long Wavelength (长 波长 中 的 

L， 它 们 都 代表 了 激光 的 种 类 。 我 们 使 用 的 激光 种 类 将 直接 影响 传输 距 
离 和 所 用 的 线 统 。 


光纤 光缆 是 用 极 细 的 玻璃 管 做 成 的 1， 用 于 传输 光 信 和 号。 光纤 光缆 由 折 
冉 率 较 高 的 纤 蕊 和 折 冉 率 较 低 的 包 层 构成 ， 为 同心 双 层 结构 。 通 过 将 折 
射 率 不 同 的 两 种 玻璃 做 成 双 层 构 造 ， 可 以 将 光 封闭 到 纤 蕊 内 ， 进 而 形 
成 低 损耗 的 光 通 道 ， 这 个 光 通 道 束 叫 作 模 。 


1 最 近 也 出 现 了 塑料 光纤 、 高 分 子 光 纤 等 用 非 玻 璃 材质 制 成 的 光纤 ， 不 过 人 们 一 般 使 用 的 光纤 
电费 都 是 用 高 纯度 的 石英 玻璃 制 成 的 。 





























| : 如 果 算 上 被 覆 表层 就 是 三 层 构造 。 





图 1.1.20 ”光纤 光缆 由 纤 芯 和 包 层 构成 


实际 传输 数据 的 时 候 ， 一 根 蕊 用 于 发 送信 息 ， 男 一 根 蕊 则 用 于 接收 信 

上 息 ， 两 根 蕊 组 成 一 对 ， 形 成 全 双 工 通信 ，。 由 于 必须 构成 收 和 发 的 关 

系 ， 如 果 一 方 发 送 了 信息 ， 男 一 方 就 必须 接收 信息 。 如 果 双 方 都 发 送信 
乱 或 都 接收 信息 ， 就 会 连 对 接 都 无 法 完成 。 


和 于 发 信 的 波长 和 用 于 收 信 的 波长 两 种 ， 分 别 进行 信 

















仅 用 于 发 送信 息 另 一 方 接收 信息 





。 公用 于 接收 信息 另 一 方 发 送信 息 


图 1.1.21 收发 信息 分 别 使 用 不 同 的 光纤 光线 


使 用 光纤 光 绕 时 ， 即 使 传输 距离 很 长 信号 也 不 会 衰减 ， 能 够 保持 极 宽 的 
频带 ， 和 双 绥 线 电线 相 比 能 延伸 到 更 远 的 距离 。 但 是 光纤 光缆 也 有 缺 
点 ， 那 就 是 结构 过 于 精密 ， 使 用 起 来 不 太 方便 。 





根据 不 同 需 要 区 分 使 用 多 模 光 纤 和 单 模 光 纤 


光纤 光 绕 有 多 模 光 纤 MMF) 和 单 模 光纤 (SMF) 两 种 类 型 ， 二 者 的 
差异 在 于 纤 芯 直径 〈 即 芯 径 ， 光 信号 从 这 里 通过 ) 不 同 。 


。 多 模 光 纤 


多 模 光 纤 的 芯 径 为 50 hm 或 62.5 nm， 用 于 1000BASE-SX 和 

10GBASE-SR4 。 由 于 忌 径 较 大 ， 光 的 通道 〈 模 ) 分 散 成 了 好 几 个 
(多 ) 。 由 于 有 多 个 通道 ， 和 单 模 光 纤 相 比 ， 它 的 传输 损耗 更 大 ， 
传输 距离 更 短 〈 最 大 550 米 )。 然 而 它 的 价格 比 单 模 光纤 便宜 ， 也 
更 好 用 ， 因 此 常常 用 于 LAN 这 种 比较 近 距 离 的 传输 。 多 模 光 纤 按 
纤 芯 折射 率 可 分 为 SI 型 〈 阶 跃 ) 和 GI 型 (渐变 ) 两 种 ， 目 前 人 们 
使 用 的 多 模 光 纤 一 般 为 GI 型 ， 我 们 可 以 认为 多 模 光 纤 指 的 就 是 GI 
型 光纤 。GI 型 光纤 能 使 纤 芯 的 折射 率 逐 渐 发 生变 化 ， 使 所 有 光 通 
道 在 同一 时 间 到 达 目 的 地 ， 这 样 就 能 减少 传输 损耗 。 


















有 多 个 模 通 过 纤长 ee 


和 单 模 相 比 传输 损耗 较 大 价格 比较 便宜 
距离 较 难 延伸 


图 1.1.22 ”多 模 光 纤 中 有 多 条 光 通 道 
单 模 光纤 


单 模 光 纤 的 蕊 径 为 8 ~ 10 hm， 用 于 1000BASE-LX 和 10GBASE- 
LR。 通 过 缩小 芯 径 ， 以 及 湿度 控制 纤 芯 和 包 层 之 间 的 折射 率 差 ， 

达到 了 只 有 一 个 《〈 单 ) 光 通 路 〈 模 ) 的 效果 。 由 于 设计 上 保证 了 只 
有 一 条 光 通 路 存在 ， 所 以 单 模 光纤 能 够 实现 长 距离 和 大 容量 数据 的 





传输 。 单 模 光 纤 在 家 庭 或 公司 等 场所 不 易 见 到 ， 但 如 果 你 经 党 出 入 
数据 中 心 或 ISP 主干 网 设施 就 会 经 常 看 到 了 。 不 知 为 何 ， 笔 者 个 人 
总 觉得 单 模 光 纤 以 责 色 的 线 统 居 多 。 征 全 光纤 在 传输 扩 员 耗 小 又 能 进 
行 长 距离 通信 这 两 点 上 无 可 挑剔 ， 但 缺点 是 价格 偏 高 。 


tt 








纤 芒 直径 : 
8~10hm 





只 有 一 个 模 通 过 纤 荡 ROOT 


距离 能 够 延伸 


图 1.1.23 单 模 光纤 中 只 有 一 条 光 通 


| 也 可 用 于 1000BASE-LX， 此 时 其 最 大 传输 距离 即 为 多 模 光 纤 的 最 大 传输 距离 (550 米 ) 。 








下 表 是 将 两 种 光纤 光缆 进行 比较 的 结果 。 
表 1.1.4 单 模 光纤 和 多 模 光 纤 的 比较 





模 分 散 有 无 























光纤 光 绕 的 规格 


光纤 光 绕 有 多 种 规格 ， 常 听 大 家 说 对 这 个 不 太 了 解 。 光 纤 光 绕 的 具体 规 
格 直 接 关 系 到 我 们 对 它们 的 选择 ， 所 以 在 这 里 要 好 好 整理 一 下 。 


我 们 在 整理 规格 的 时 候 ， 最 容易 理解 的 是 co BASE- 口 入 中 口 的 部 分 。 这 部 
分 的 文字 表示 了 激光 的 种 类 ， 笔 者 就 是 利用 这 里 的 英文 字母 整理 规格 
的 。 以 1000BASE-SX 为 例 ，1000BASE-SX 中 的 S 代表 了 Short 
Wavelength (短波 长)”， 有 S 的 规格 说 明 该 光缆 使 用 的 是 850nm 波长 
的 短波 长 激光 ， 仅 能 用 于 多 模 光 纤 。 笔 者 是 这 样 简 单 记 忆 的 : S 代表 
Short， 指 距离 短 的 多 模 ， 而 工 代表 Long， 指 距离 长 的 单 模 ， 不 过 大 能 
兼 小 ， 所 以 它 也 能 用 于 多 模 光 纤 。 

5X 则 是 1000BASE-X 中 的 X。1000BASE-X 是 使 用 光纤 的 千 兆 位 以 太 网 的 总 称 。 顺 便 提 一 


句 ，10GBASE-SR 中 的 R 指 10GBASE-R 中 的 R， 而 10GBASE-R 是 10 和 王 兆 位 以 太 网 的 总 


称 。 

















下 面 是 笔者 整理 出 来 的 光纤 光缆 规格 一 览 


表 1.1.5 可 用 于 1000BASE-X 的 光缆 


传输 媒介 


MMF [ 多 痪 光纤 】 SMF 1 单 模 光 钙 |] 


275m 550m 
FP 10k 70k 
六 { 200MHz .km 时 )】 ( 500MHz » km 时 ) 


彼 疾 850nm 


1000BASE-SX 
1Gbils 的 现 检 


( 1000BASE-X) 1000BASE-LX 
IEEE802.3z |! 


※ 括号 内 的 数字 表示 模 的 带宽 ， 数 字 越 大 则 传输 损耗 越 小 ， 适 合 长 距离 传输 。 








表 1.1.6 可 用 于 10GBASE-R-X 的 光线 


MMF [多 碟 光 奸 ) SMF [ 音 袖 光 寻 ) 


10Gbibs 的 规格 10GBASE-SR || 10GBASEAR |;| 10GBASE-ER 
(10BASE-R } IEEE802.3ae :| JEEE802.3ae |i| IEEE802.3ae 





※ 括号 内 的 数字 表示 模 的 带宽 ， 数 字 越 大 则 传输 损耗 越 小 ， 适 合 长 距离 传输 。 
常用 的 连接 器 有 SC 型 和 LC 型 两 种 


光纤 连接 器 有 多 种 形状 ， 一 般 用 于 LAN 等 方面 的 连接 器 有 SC 型 和 LC 
型 两 种 ， 我 们 应 根据 连接 的 设备 和 模块 选择 使 用 哪 一 种 。 


。 SC 型 连接 器 
SC 型 连接 右 只 需 推 入 插头 束 能 锁 住 ， 回 外 轻 拉 就 能 断 开 ， 是 一 种 


推拉 式 构造 的 连接 器 。 其 特点 是 使 用 方便 、 成 本 低廉 ， 缺 点 是 插头 
有 点 大 。 在 10GBASE-R 中 使 用 的 X2 模块 、 将 电信 号 和 光 信 和 号 相 





互 转换 的 媒体 转换 器 、ONU (Optical Network Unit， 光 网 络 单元 ) 
设备 ..…. 连 接 这 些 对 象 时 要 用 到 SC 型 连接 器 。 


1 





图 1.1.24 SC 型 连接 器 的 形状 〈 照 片 提供 源 : SANWA SUPPLY 
股份 有 限 公 司 ) 

。LC 型 连接 器 
LC 型 连接 器 的 形状 和 SC 型 很 像 。 它 和 双 绞 线 电 缆 的 连接 器 (RJ- 
45) 一 样 只 需 推 入 插头 就 能 锁 住 ， 要 上 断 开 时 按 住 小 突起 〈 门 锁 ) 往 
外 拉 即 可 。 插 头 比 SC 型 连接 器 的 小 ， 能 够 安装 很 多 端口 。 连 接 
SFP 模块 、SFP+ 模块 时 使 用 LC 型 连接 器 。 





妃 


图 1.1.25 LC 型 连接 器 的 形状 (照片 提供 源 : SANWA SUPPLY 
股份 有 限 公司 ) 


SC 型 连接 器 和 ELC 型 连接 器 只 是 连接 器 的 形状 不 同 而 已 ， 和 使 用 规格 
并 没有 直接 的 关系 。 首 先 我 们 应 根据 需要 的 规格 选择 连接 的 设备 和 模 
块 ， 然 后 根据 该 设备 和 模块 选择 连接 器 和 光缆 。 举 个 例子 ， 有 两 台 装 交 
换 机 装 有 1000BASE-SX 的 SFP 模块 ， 当 我 们 需要 将 这 两 台 交 换 机 连接 
起 来 的 时 候 ，SFP 模块 应 接 LC 型 连接 器 ， 应 选择 LC-LC 多 模 光 纤 。 





加 
ee 


图 1.1.26 根据 设备 和 模块 选择 连接 器 和 光 闹 


1.2 物理 设计 


前 面 我 们 已 经 对 物理 层 的 各 种 技术 做 了 很 多 说 明 。 下 面 从 实用 性 的 角度 
讲 讲 在 服务 器 端 应 该 如 何 使 用 这 些 物理 层 的 技术 ， 以 及 我 们 在 设计 和 架 
构 服 务 器 端 时 应 该 注意 哪些 事项 。 

1.2.1 服务 器 端 有 两 种 结构 类 型 

想 要 设计 出 服务 器 端 物理 层面 的 结构 ， 束 要 摘 清 楚 要 针对 什么 设备 进行 
怎样 的 配置 和 连接 。 服务 开始 运作 之 后 再 去 大 规模 地 修改 结构 是 非常 困 
难 的 一 一 当然 并 非 无 法 实现 ， 但 是 届时 我 们 将 不 得 不 中 断 服 务 。 因 此 ， 
为 了 避免 出 现 那样 不 得 已 的 局 面 ， 我 们 必须 设计 出 易于 管理 、 易 于 扩 - 
展 、 着 有 眼 于 未 来 的 物理 结构 。 


一 般 用 于 服务 器 端的 物理 结构 有 两 种 ， 分 别 是 串联 式 和 单 路 并 联 式 ， 中 
小 规模 的 系统 环境 多 采用 前 者 ， 大 规模 系统 环境 则 多 采用 后 者 。 下 表 是 
将 二 者 进行 粗略 比较 之 后 得 出 的 结果 。 


表 1.2.1 串联 式 结构 和 单 路 并 联 式 结构 的 比较 。 


6 表格 中 的 o 代 表 “ 高 "?， 人 代表 “ 尚 可 ”。 一 一 译 者 注 


串联 式 结构 单 路 并 联 式 结构 




















结构 的 简易 度 














采用 的 系统 4 


关于 各 种 机 器 的 技术 、 功 能 ， 以 及 为 什么 是 这 样 的 物理 结构 等 详细 内 容 





将 在 下 一 章 按 结构 类 型 分 别 进行 讲解 。 在 这 一 节 ， 大 家 只 需 对 如 何 连接 
有 个 大 致 的 印象 就 可 以 了 。 物 理 结构 的 设计 是 诸多 技术 和 诸多 功能 的 集 
大 成 者 ， 所 有 的 设备 配置 都 自 有 其 道理 和 意义 ， 相 信 各 位 读者 在 了 解 了 
各 种 技术 和 功能 之 后 再 回 过 头 来 看 这 一 节 就 会 党 得 更 加 有 趣 。 接 下 来 就 
开始 详细 介绍 各 种 结构 的 概要 。 

1.2.1.1 采用 串联 式 结构 管理 起 来 更 方便 

首先 我 们 来 看 串联 式 结构 。 该 结构 是 在 通信 线路 上 进行 配置 的 ， 串 联 式 
(Inline〉 也 因此 而 得 名 。 目 前 在 服务 器 病 用 得 最 多 的 就 是 串联 式 结 
构 ， 由 于 它 结 构 简 单 ， 故 障 也 容易 排除 ， 深 受 运 行 官 理 者 的 达 爱 。 上 捉 联 
式 缩 构 有 很 多 种 类 型 ， 无 深 一 一 列 党， 这 里 从 介绍 几 个 有 代表 性 的 类 























串联 式 结构 之 类 型 1 


我 们 来 看 第 一 种 类 型 。 这 是 串联 式 结构 中 最 简单 、 最 容易 理解 的 一 种 结 
构 ， 网 络 设备 从 上 到 下 的 配置 都 是 四 角形 结构 。 这 种 方形 结构 是 串联 式 
结构 中 最 基本 的 结构 。 
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器 乞 敢 99M 


图 1.2.1 串联 式 结 构 之 类 型 1 


我 们 应 将 相同 的 设备 并 列 配置 以 实现 元 余 化 ， 用 多 根 线 线 连 接 机 器 。 这 
些 线 线 不 仅 交 换 管理 比特 流 〈 管 理 比特 流 用 于 管理 抑 余 结构 ) ， 同 时 又 
提供 发 生 故 障 时 的 迁 回 线路 。 上 下 之 间 用 一 根 线 缆 连 接 。 实 际 上 也 可 根 
据 通信 量 适 当地 增加 线 统 ， 但 这 里 为 了 方便 大 家 理解 ， 只 用 一 根 。 


这 种 结构 非常 简单 。 在 这 种 结构 中 每 台 机 器 各 司 其 职 ， 无 论 哪 台 机 器 发 
生 故 障 ， 系 统 都 会 将 该 故障 对 其 他 机 器 的 影响 控制 在 最 小 范围 内 ， 同 时 
切换 连接 到 备用 机 上 。 








串联 式 结构 之 类 型 2 


接 下 来 看 看 第 二 种 类 型 。 这 种 类 型 是 在 第 一 种 结构 类 型 中 加 入 了 刀片 服 
务 器 、 虚 拟 化 、StackWise 技术 和 VSS (Virtual Switching System， 虚拟 
交换 系统 ) 、 数 据 安全 区 段 划分 这 四 个 元 素 。 乍 一 看 比较 复杂 ， 但 仔细 
观察 后 会 发 现 它 是 一 种 非常 典型 的 方形 结构 。 这 里 ， 使 用 StackWise 技 
术 的 交换 机 必须 用 专用 的 Stack 线 缆 连接 。 


这 种 结构 的 刀片 服务 器 和 虚拟 化 能 够 提高 服务 器 的 集中 效率 和 可 扩展 
性 ，StackWise 技术 和 VSS 能 够 提高 交换 机 的 运行 管理 效率 ， 这 些 都 对 
简化 结构 起 着 重要 的 作用 。 此 外 ， 对 DMZ 和 LAN 的 数据 安全 区 段 划 
分 又 提高 了 安全 度 。 这 种 类 型 必须 采用 刀片 服务 器 特有 的 结构 ， 架 构 可 
使 用 虚拟 化 功能 的 专用 网 络 ， 较 之 类 型 1， 需 要 考虑 的 地 方 会 更 多 一 
些 。 本 书后 面 有 对 各 个 要 素 的 详细 说 明 ， 刀 片 服务 器 在 4.1.1.2 节 ， 虚 
拟 化 在 2.3.1.1 节 ，StackWise 技术 和 VSS 在 4.1.1.3 节 ， 数 据 安 全 区 段 
划分 在 3.1.1.1 节 。 


这 种 结构 也 和 类 型 1 一 样 ， 每 全 机 露 各 司 其 职 ， 无 论 哪 台 机 器 发 生 故 
障 ， 系 统 者 会 将 故障 对 其 他 机 需 的 影响 控制 在 最 小 范围 内 ， 同 时 切换 连 
接 到 备用 机 上 。 


1.2.1.2 ”采用 单 路 并 联 式 结构 更 容易 扩展 


下 面 ， 我 们 来 看 看 单 路 并 联 式 结构 。 这 种 结构 恰似 将 设备 配置 到 核心 交 
换 机 的 手臂 位 置 ， 所 以 叫 作 One-Arm 结构 ( 单 辟 结构 或 单 路 并 联 式 结 
构 ) 。 位 于 服务 器 端 中 心 部 位 的 核心 交换 机 扮演 着 多 重 角 色 ， 因 此 整体 
结构 比 串联 式 结 构 要 复杂 。 然 而 这 种 结构 能 够 适应 各 种 需求 ， 兼 具 灵 活 
性 和 可 扩展 性 ， 第 用 于 数据 中 心 、 多 租户 环境 等 规模 较 大 的 服务 器 端 。 
下 面 介绍 几 个 具有 代表 性 的 单 路 并 联 式 结构 类 型 和 它们 各 目的 特点 。 


单 路 并 联 式 结构 之 类 型 1 


我 们 来 看 第 一 种 类 型 。 这 是 单 路 并 联 式 结构 中 最 简单 、 最 容易 理解 的 一 
种 结构 ， 实 际 上 ， 这 种 结构 在 逻辑 上 和 串联 式 结构 的 类 型 1 是 一 样 的 。 
将 相同 的 设备 并 列 配置 以 实现 元 余 化 这 一 点 没有 任何 变化 ， 不 同 的 只 是 
按 纵 列 配置 而 已 。 在 这 种 结构 中 ， 我 们 将 防火 墙 和 负载 均衡 器 配置 到 核 
心 交 换 机 的 劳 边 ， 就 好 像 核心 交换 机 的 手 骨 一 样 。 在 串联 式 结构 中 ， 每 
台 机 器 各 司 其 职 ， 配 置 非常 容易 理解 ， 而 在 单 路 并 联 式 结构 中 ， 很 多 职 



































能 都 集中 于 核心 交换 机 一 身 ， 位 于 系统 中 心 部 位 的 核心 交换 机 屑 负 着 多 
重任 务 ， 几 乎 所 有 的 通信 都 需要 经 过 它 的 处 理 。 


设备 配置 虽然 完全 不 同 ， 但 单 路 并 联 式 结构 所 用 的 元 余 功 能 却 和 串联 式 
结构 的 一 模 一 样 。 无 论 哪 台 机 器 及 生 故 障 ， 系 统 都 会 并 刻 切换 线路 并 确 
保 新 的 线路 畅通 无 阻 。 核 心 交 换 机 由 于 承担 着 多 重 角色 ， 一 旦 它 自 身 发 
生 故 障 ， 就 会 对 所 有 的 机 顺产 生 影响 。 
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图 1.2.2 串联 式 结构 之 类 型 2 
※ 由 于 版 面 关 系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 
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图 1.2.3 单 路 并 联 式 结构 之 类 型 1 
单 路 并 联 式 结构 之 类 型 2 


我 们 来 看 第 二 种 类 型 。 和 串联 式 结构 一 样 ， 这 种 类 型 是 在 第 一 种 单 路 并 
联 式 结构 类 型 中 加 入 了 刀片 服务 器 、 虚 拟 化 、StackWise 技术 和 VSS、 
数据 安全 区 段 划 分 这 四 个 元 素 。 


这 种 类 型 也 是 乍 看 起 来 比较 复 洒 ， 但 基本 结构 和 结构 类 型 1 是 一 样 的 。 
核心 交换机 的 连接 形态 稍 有 不 同 ， 这 是 因为 VSS 在 多 辑 上 将 两 台 核 心 
交换 机 合并 成 了 一 人 台 的 缘故 。 从 防火 场 和 负载 均衡 右 的 角度 来 看 ， 就 像 
是 只 连接 到 了 一 台 核 心 交换 机 上 那样 ， 而 它们 就 是 配置 在 这 台 核 心 交换 
机 劳 边 的 手臂 。 


这 种 结构 也 和 结构 类 型 1 一样， 机 器 配置 虽然 完全 不 同 ， 但 所 用 的 见 余 
功能 却 和 捉 联 式 结构 的 一 模 一 样 。 无 论 哪 合 机 器 发 生 故 障 ， 系 统 都 会 立 
刻 切 换 线路 并 确保 新 的 线路 畅通 无 阻 。 这 种 结构 的 核心 交换 机 和 结构 类 
型 1 的 核心 交换 机 一 样 承担 着 多 重 角 色 ， 不 过 ， 由 于 它 是 VSS 在 逻辑 
上 合并 成 的 一 台 交 换 机 ， 所 以 即使 它 发 生 故 障 ， 也 不 会 像 类 型 1 那样 对 
周边 机 器 产生 巨大 影 啊 。 


在 之 后 的 章节 中 介绍 技术 和 规格 时 还 会 提 到 上 述 四 种 结构 。 在 当前 阶段 
这 些 结构 看 起 来 非常 难 懂 ， 尤 其 是 结构 类 型 2， 里 面 灶 合 了 太 多 内 容 ， 














现在 大 家 也 许 还 完全 摸 不 着 头脑 。 不 过 ， 一 旦 理解 了 后 面 章 节 介 绍 的 技 
0 ， 各 位 一 定 会 觉得 豁然 开明 
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图 1.2.4 单 路 并 联 式 结构 之 类 型 2 








于 版 面 关系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 


1.2.2 ”选用 设备 时 应 参考 考 碍 项 的 最 大 值 


设备 的 物理 结构 制定 下 来 后 ， 我 们 束 要 考 碟 应 该 选用 有 痢 怎 样 规 格 〈 性 
能 ) 的 设备 。 根 据 什么 要 聂 去 选用 设备 ， 这 如 是 便 件 结构 设计 的 内 容 。 
有 时 候 我 们 可 能 还 会 需要 另外 准备 一 些 考查 项 ， 和 它们 并 非 物理 设计 的 范 
畴 ， 而 是 属于 硬件 结构 设计 和 性 能 设计 中 的 内 容 。 本 书 立 足 于 物理 设备 
的 性 能 设计 来 讲解 物理 设计 。 


选择 设备 时 应 考虑 需要 的 功能 、 成 本 、 否 吐 率 、 连 接 恬 的 数量 、 设 备 被 
认可 和 采纳 的 实际 情况 等 多 种 要 素 。 这 里 ， 我 们 着 重 针对 吞吐 率 和 连接 
器 的 数量 进行 说 明 。 这 两 个 要 素 可 以 成 为 我 们 选择 设备 时 的 绝对 性 指 

标 。 如 果 要 更 换 旧 机 器 ， 最 好 利用 SNMP (Simple Network Management 
Protocol， 人 简单 网 络 管理 协议 ) 预先 从 现 有 机 器 中 获取 这 两 个 指标 的 相 
关 数 字 ， 为 今后 选择 设备 做 准备 。 关 于 SNMP 将 在 本 书 的 5.1.2 节 中 详 
细 介 绍 。 如 果 要 增设 新 机 器 ， 则 应 根据 我 们 设想 的 用 户 人 数 、 应 用 程序 
和 信息 内 容 大 小 等 进行 预测 。 


尽管 这 种 情况 屡见不鲜 ， 但 是 像 吞 吐 率 和 连接 器 数量 这 样 的 考查 项 ， 用 
它们 一 般 的 平均 值 去 选择 设备 是 没有 多 大 意义 的 。 我 们 应 对 长 期 或 短期 
的 访问 类 型 进行 分 析 ， 参 考 考 查 项 的 最 大 值 去 选择 使 用 何 种 设备 。 

吞吐 率 


连接 数 












































图 1.2.5 参考 考查 项 的 最 大 值 
1.2.2.1 应 用 程序 不 同 吞 吐 率 也 就 不 同 


否 吐 率 指 的 是 应 用 程序 实际 传输 数据 的 有 效 速度 。 否 吐 率 中 包含 与 应 用 
程序 相关 的 各 种 处 理 延 迟 ， 因 此 实际 的 传输 速度 肯定 会 比 规格 上 的 理论 
值 要 低 。 服 务 器 端的 耕 吐 率 受 诸多 二 求 因素 的 影响 ， 包 括 我 们 设想 的 最 
大 连接 用 户 数 、 所 用 应 用 程序 的 信息 流通 类 型 ， 等 等 。 我 们 应 在 对 这 些 
因素 了 如 指 党 的 基础 上 算出 我 们 需要 的 吞吐 率 。 网 络 设备 的 各 生产 商 一 
般 会 公布 其 产品 的 最 大 否 吐 率 ， 即 在 不 发 生 位 丢失 的 情况 下 能 够 传输 的 
最 高 速度 。 我 们 应 参考 那些 数据 ， 选 择 性 能 上 仍 有 一 定 富余 的 机 需 。 


有 的 设备 会 因为 局 用 的 功能 导致 最 大 吞吐 率 降 低 。 遇 到 这 种 情况 ， 我 们 
应 在 充分 考虑 使 用 的 功能 之 后 再 去 决定 机 器 的 最 大 吞吐 率 。 举 个 例子 ， 
有 的 设备 在 仅 启 动 防火 墙 功 能 时 处 理 速 度 可 以 达到 4Gbit/s， 但 同时 开启 
IPS (入 侵 防 御 系 统 ) 功能 的 话 ， 处 理 速度 就 会 降 到 1.3Gbit/s。 如 果 一 
0 
对 象 。 


1.2.2.2 ”新 增 连 接 数 和 并 发 连接 数 都 要 考虑 


连接 数 是 指 一 秒 钟 之 内 能 够 处 理 多 少 连 接 。 连 接 数 的 值 越 大 ， 表 示 能 够 
处 理 的 数据 越 多 。 选 用 防火 墙 和 负载 均衡 器 时 我 们 需要 注意 这 个 数值 。 
连接 数 分 为 新 增 连接 数 和 并 发 连接 数 两 种 ， 新 增 连接 数 指 每 秒 钟 能 够 处 
理 多 少 连接 ， 并 发 连接 数 指 同 时 能 够 维持 多 少 连接 。 

这 两 个 值 看 起 来 似乎 应 该 成 正比 ， 但 其 实 未 必 。 例 如 ， 当 FTP (File 
Transfer Protocol， 文 件 传输 协议 ) 这 样 的 协议 试图 在 长 时 间 内 维持 少量 
的 连接 来 进行 访问 时 ， 并 发 连接 数 会 增多 ， 新 增 连 接 数 却 并 不 会 增加 多 


少 。 



































图 1.2.6 新 增 连 接 数 和 并 发 连接 数 未 必 成 正比 


我 们 设想 的 最 大 连接 用 户 数 和 所 用 的 应 用 程序 会 影响 到 我 们 实际 需要 的 
连接 数 。 我 们 应 明确 了 解 这 些 因素 之 后 再 去 计算 所 需 的 新 增 连接 数 和 并 
发 连接 数 。 各 生产 商 也 会 公布 其 产品 的 最 大 连接 数 ”， 我 们 应 参考 那些 
数据 ， 选 择 性 能 上 仍 有 一 定 富余 的 设备 。 无 论 是 最 大 新 增 连接 数 还 是 最 
大 并 发 连接 数 ， 实 际 的 数字 一 旦 超过 它们 ， 就 会 发 生 服 务 延迟 。 


| ”有 的 生产 商 仅 公布 了 并 发 连接 数 。 


前 面 都 是 对 人 硬件 结构 设计 的 说 明 ， 归 根 结 感 ， 设 备 古 无 法 满足 超出 它们 
规格 之 外 的 要 求 的 。 无 论 我 们 使 用 多 少 系数 去 进行 怎样 的 计算 ， 得 出 的 
结果 都 是 在 我 们 能 够 设想 到 的 范围 之 内 。 有 些 企业 会 按照 极限 值 进行 设 
定 并 根据 该 设 定 去 选用 设备 ， 可 是 那样 的 话 ， 一 旦 过 到 出 乎 意料 的 巨大 
通信 量 ， 就 会 措手不及 ， 根 本 无 法 应 对 。 和 服务 堪 相 比 ， 网 络 设备 的 使 
用 大 命 一般 更 长 一 些 ， 无 论 纵 同 扩 展 还 是 横 问 扩展 都 比较 困难 ， 上 所 以 我 
们 在 进行 性 能 设计 时 一 定 要 留 有 一 定 的 余地 才 行 。 


根据 什么 信息 去 选用 设备 ， 这 其 中 的 逻辑 真 的 十 分 重要 。 














1.2.3 ”选择 稳定 可 靠 的 OS 版 本 


网 络 设 备 和 服务 器 一 样 都 是 在 OS 中 运行 的 。 然 而 不 可 思议 的 是 ， 人 们 
往往 非常 关心 服务 器 的 OS 版 本 ， 对 网 络 设 备 的 OS 版 本 却 不 是 那么 在 
意 。 其 实 ， 网 络 设备 的 OS 版 本 也 和 服务 器 的 OS 版 本 同样 重要 。 尤 其 
是 最 近 的 网 络 设备 ， 有 些 是 在 Linux OS 中 运行 并 在 该 OS 的 上 层 提 供 服 
务 功能 的 ， 这 就 更 需要 我 们 在 深思 熟 虑 之 后 做 出 决定 。 如 果 采 用 了 不 稳 
定 的 OS 版 本 ， 或 是 系统 内 出 现 了 OS 版 本 差异 ， 那 就 可 能 会 给 今后 的 
i 
和 问题 。 


不 懂 就 问 是 捷径 


网 络 设备 使 用 的 OS 并 不 因为 它 是 最 新 的 版 本 或 者 执行 了 最 新 的 修改 程 
序 〈 补 丁 、 修 补 程序 ) 就 一 定 古 稳定 的 。 该 OS 被 认可 采纳 的 实际 情况 
如 何 ， 生 产 商 情况 以 及 代理 商 的 推荐 起 看 重要 的 参考 作用 。 有 些 生产 丙 
和 代理 商会 公布 他 们 的 推荐 版 本 和 稳定 版 本 。 为 一 方面 ， 也 有 些 企业 对 
ee 
OS o 


OS 都 是 有 汤 洞 的 。 系 统 运行 后 ， 生 产 商 和 代理 商会 通过 简讯 及 时 公布 
各 种 漏洞 的 存在 ， 但 我 们 不 必 去 一 一 应 对 ， 人 否则 会 一 直 没 完 没 了 。 我 们 
只 需要 挑 出 那些 和 系统 使 用 功能 相关 的 漏洞 以 及 会 对 系统 产生 较 大 影响 
的 漏洞 ， 对 它们 进行 修补 即 可 。 此 外 还 有 一 点 ， 文 持 期 限 也 可 以 成 为 我 
们 挑选 OS 版 本 时 的 一 个 考查 项 。 有 些 机 器 使 用 的 每 种 OS 版 本 都 设 有 
各 目的 文 持 期 限 ， 一 旦 超过 该 期 限 ， 官 方 将 不 再 提供 任何 补丁 。 本 来 一 
直 使 用 同一 个 版 本 这 种 事情 就 是 不 可 能 的 ， 所 以 我 们 应 该 定期 地 检查 当 
前 正在 使 用 的 OS 版 本 ,不 断 进行 版 本 升级 。 下 面 以 负载 均衡 器 的 默认 
标准 软件 BIG-IP 为 例 ， 在 表 1.2.2 中 列 出 了 其 各 种 版 本 的 支持 期 限 。 











表 1.2.2 不 同 版 本 有 不 同 的 支持 期 限 ( 截 至 2013 年 12 月 的 数据 ) 


软件 版 本 软件 开发 结束 时 间 技术 支持 结束 时 间 

















11.4.1 2013 年 09 月 17 日 2016 年 09 月 17 日 2017 年 09 月 17 日 








11.4.0 2013 年 06 月 11 日 2015 年 06 月 1 2016 年 06 月 11 日 


岂止 
Ha one a 用 日。 年 w 月 加 
He on 2 
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* 参考 网 页 : http://support.f5.com/kb/en-us/solutions/public/5000/900/so15903.html?sr=28305237 


1.2.4 ”根据 实际 配置 和 使 用 目的 选择 线 统 


这 里 ， 我 们 要 设计 用 于 连接 的 网 线 ， 也 就 是 要 选择 使 用 什么 线 缆 进行 连 
接 。 当 前 ， 对 用 于 服务 器 端 物 理 层 的 传输 媒介 我 们 有 两 个 选择 一 双 纹 
线 电缆 和 光纤 光线。 如今 ， 无 线 LAN 即使 再 高 速 ， 系 统管 理 人 员 也 不 
会 跃跃欲试 地 想 把 它们 用 到 服务 器 端 去 吧 。 在 选择 使 用 哪 种 传输 媒介 
时 ， 我 们 必须 充分 考虑 成 本 、 便 利 性 、 物 理 层面 的 配置 以 及 数据 用 途 等 
实际 需求 。 这 里 ， 我 们 将 着 重 针对 物理 层面 的 配置 和 数据 用 途 进 行 说 

























































































明 。 
1.2.4.1 ” 远 距 离 传 输 选择 光纤 光 统 


前 面 已 经 讲 过 ， 用 于 有 线 LAN 的 线 绕 都 会 受到 传输 距离 的 限制 。 距 离 
越 远 信号 强度 束 越 低 ， 数 据 的 损耗 率 束 越 大 ， 妆 然 否 吐 率 也 会 下 降 。 特 
别 是 双 绞 线 电缆 ， 由 于 仅 能 延伸 到 100 米 处 ， 该 现象 尤为 突出 。 如 果 需 
要 路 越 好 几 个 楼 层 或 是 路 越 大 楼 或 房子 ， 最 后 设备 间 的 距离 又 接近 100 
米 的 话 ， 那 么 选择 光纤 光 统 会 比较 安全 。 如 果 需 要 连接 到 更 远 的 地 方 ， 
则 建议 选择 单 模 光纤 光缆 。 我 们 应 该 根据 传输 距离 选择 传输 媒介 。 














一 般 情况 下 会 使 用 多 根 
光线 连接 以 实现 究 余 化 





长 约 100 米 


图 1.2.7 如 果 间 距 已 接近 100 米 ， 应 选择 光纤 光缆 进行 连接 





当 交 换 机 并 不 支持 光纤 光 绕 却 需要 延伸 传输 距离 的 时 候 ， 我 们 可 以 用 媒 
体 转 换 器 来 解决 这 个 问题 。 媒 体 转 换 器 是 将 双 绞 线 电 绕 中 流通 的 电信 号 
转换 为 能 在 光纤 光缆 中 流通 的 光 信 号 的 机 器 。 首 先 ， 我 们 将 不 文 持 光纤 
光缆 的 设备 通过 双 终 线 电 费 连 到 媒体 转换 左上; 接 下 来 ， 用 SC-SC 光 
纤 光 统 将 其 续 接 到 男 一 台媒 体 转换 器 上 ; 最 后 ， 我 们 再 次 使 用 双 绞 线 电 
缆 将 媒体 转换 器 连接 至 另 一 台 设 备 。 这 样 ， 传 输 距 离 就 得 以 延伸 了 。 册 
于 媒体 转换 器 只 能 使 用 SC 型 光纤 连接 器 ， 所 以 这 种 情况 时 我 们 需要 使 
用 SC-SC 光纤 光缆 。 





将 电信 号 顶 拱 性 将 党 售 计 转 虎 为 
光 信 号 所 信号 





设备 内 刁 下 类 持 光 
计 光 要 , 传 畏 算 元 也 
能 各 出 104 迷 





图 1.2.8 ”利用 媒体 转换 器 来 延伸 距离 
1.2.4.2 ” 退 求 宽频 带 和 高 可 徘 性 时 选择 光纤 


双 弘 线 电 统 在 高 频 下 的 信号 衰减 十 分 明显 ， 所 以 用 于 因 频 (高 速 ) 传输 
的 话 性 能 有 限 。 最 近 ， 通 信 统 一 已 成 为 一 种 趋势 ， 各 种 通信 类 型 都 开始 
在 网 络 中 出 现 。 就 好 像 三 条 车 道 比 一 条 车 道 好 用 、 道 路 越 宽 敞 就 越 不 容 
易 发 生 交 通 拥堵 那样 ， 如 今 ， 宽 带 传输 已 成 为 了 系统 设计 中 不 可 或 缺 的 
内 容 。 像 iSCSI、FCoE (Fiber Channel over Ethernet， 以 太 网 光纤 通 

道 ) 等 存储 器 通信 那样 既 需 要 始终 维持 宽带 、 又 追求 高 可 靠 性 的 通信 ， 
使 用 光纤 光缆 比较 合适 。 另 外 ， 通 往 位 于 上 层 的 核心 交换 机 、 汇 聚 交 换 
机 8 等 交换 机 的 上 行 部 分 也 容易 汇集 大 量 的 通信 数据 ， 因 此 也 同样 需要 
宽带 和 高 可 靠 性 。 在 这 些 地 方 我 们 应 使 用 光纤 光缆 以 确保 宽带 和 高 可 靠 














| 8 汇聚 交换 机 是 指 将 接 入 交换 机 和 服务 器 交换 机 集中 到 一 处 的 交换 机 ， 也 叫 分 布 交 换 机 。 
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图 1.2.9 人 退 求 宽频 带 和 高 可 靠 性 时 选择 光纤 光 统 
1.2.4.3 ”通过 大 小 分 类 决定 使 用 哪 种 双 绞 线 电 统 


使 用 双 绞 线 电 统 时 ， 首 先 要 注意 它 的 大 分 类 。 双 绞 线 电 统 越 是 接近 宽频 
带 的 规格 就 会 越 容易 受到 电磁 干扰 ， 所 以 必须 慎重 选择 合适 的 大 分 类 。 
例如 ， 对 于 1000BASE-T 笔者 推荐 使 用 5e 以 上 的 规格 ， 对 于 
10GBASE-T 则 推荐 使 用 6A 以 上 的 规格 。 在 设计 时 我 们 应 明确 规定 使 用 
哪 种 大 分 类 ， 这 样 以 后 才 不 会 糊 里 糊涂 、 不 知 所 措 。 


双 绥 线 电 缆 还 有 直通 线 和 交叉 线 这 两 个 小 分 类 ， 所 以 使 用 双 丝 线 电 费时 
我 们 还 必须 决定 选择 其 中 哪 一 类 。 当 Auto MDIMDI-X 功能 处 于 激活 状 
态 时 我 们 可 以 不 必 在 意 小 分 类 ， 然 而 当 该 功能 未 被 激活 时 ， 小 分 类 不 相 
符 的 话 就 会 无 法 连通 。 我 们 可 以 立 下 类 似 这 样 的 约定 : 连接 同 种 网 络 设 
0 00 0 
导线 。 
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图 1.2.10 当 Auto MDIMDI-X 功能 未 被 激活 时 决定 是 使 用 交叉 线 还 
是 直通 线 


1.2.4.4 预先 决定 好 使 用 线 线 的 颜色 
线 绕 的 颜色 很 重要 ， 这 一 点 容易 被 人 们 忽视 。 预 先 确定 好 在 什么 地 方 ， 


或 者 说 针对 什么 机 器 使 用 什么 颜色 的 线 绕 ， 我 们 就 能 一 眼看 出 该 线 绕 的 
用 途 ， 以 便 进行 管理 。 一 般 说 来 ， 按 照 线 绕 的 小 分 类 划分 颜色 较为 常 


见 ， 例 如 交叉 线 用 红色 、 直 通 线 用 监 色 。 这 样 ， 当 线 线 有 问题 时 我 们 一 
看 就 知道 要 准备 什么 线 绕 去 蔡 换 ， 有 助 于 快速 解决 问题 。 


这 么 一 说 ， 笔 者 想起 来 曾 在 茶 个 服务 器 端 见 过 色彩 斑 漳 犹如 彩虹 的 线 统 
阵容 。 总 共有 九 种 颜色 ， 的 确 是 鲜艳 无 比 、 漂 亮 非 凡 。 然 而 ， 对 于 如 此 
多 彩 的 LAN 网 线 我 只 觉得 尺 讶 不 已 ， 这 样 安 排 的 话 ， 不 预先 围 积 大 量 
的 备用 线 统 ， 以 后 扩展 系统 时 得 人 花 多 少 精力 去 配置 它们 啊 。 所 以 ， 我 们 
在 定义 颜色 时 还 是 着 眼 于 其 中 的 几 个 关键 点 比较 好 。 


到 这 里 我 们 已 经 讲述 了 应 该 选择 怎样 的 线 统 。 也 许 有 的 读者 会 想 ， 全 都 
使 用 光纤 光缆 不 就 好 了 ? 可 能 的 确 如 此 ， 如 果 贵 公司 财力 雄厚 可 以 花 钱 
如 流水 ， 那 么 无 可 厚 非 ， 然 而 并 非 所 有 企业 都 是 如 此 ， 光 纤 的 线 绕 和 连 
接 需 都 是 比较 贯 的 ， 而 且 有 些 设 备 压根 就 没有 光纤 连接 圳 。 在 这 个 充满 
艰 半 的 世界 上 生存 ， 我 们 得 勤俭 节约 才 行 ， 所 以 还 是 多 多 精打细算 ， 仅 
在 机 需 间 距离 遥远 以 及 需要 提高 传输 质量 的 少数 情况 下 使 用 光纤 光线 

吧 。 


1.2.5” 疹 口 的 物理 设计 出 乎 意料 地 重要 


在 这 里 ， 我 们 要 设计 将 什么 对 象 连接 到 何 处 的 基本 规则 。 内 容 昌 极 其 单 
纯 ， 但 对 今后 的 运行 管理 却 影响 巨大 。 如 果 将 服务 器 和 PC 不 加 考虑 地 
随意 连 到 空间 端口 上 ， 发 生 问 题 时 就 会 弄 不 清 到 底 是 哪里 连接 着 哪些 机 
器 。 不 统一 基本 规则 就 去 连接 的 话 ， 系 统 结构 就 无 法 在 脑海 中 留 下 清晰 
的 印象 。 所 以 我 们 一 定 要 在 设计 阶段 制定 好 明确 易 懂 的 规则 ， 明 确 什么 
设备 连 在 何 处 。 


1.2.5.1 ”必须 统一 规划 连接 到 哪里 


保持 统一 性 这 一 上 在 设计 阶段 非常 重要 。 因 此 ， 如 果 现 有 系统 中 已 经 有 
了 基本 规则 ， 我 们 了 最 好 去 遵循 它 。 无 视 现 有 的 基本 规则 去 进行 系统 架构 
和 扩展 只 会 让 今后 的 局 面 混 乱 不 堪 。 如 果 是 新 建 一 个 系统 ， 那 就 要 从 无 
到 有 地 制定 出 基本 规则 。 这 时 ， 设 计 人 员 必 须要 制定 出 明确 易 懂 、 便 于 
扩展 的 基本 规则 。 


以 笔者 制定 的 基本 规则 为 例 ， 如 果 连 接 是 并 列 配置 和 上 下 配置 的 网 络 设 
备 的 端口 ， 由 于 它们 不 太 会 发 生 增 减 ， 所 以 要 从 尾 号 端口 开始 使 用 ， 相 
反 ， 如 果 连 接 的 是 服务 器 和 PC 的 端口 ， 由 于 它们 很 可 能 会 发 生 增 减 ， 
所 以 要 从 小 号 器 口 开 始 使 用 。 我 们 要 像 这 样 针 对 设备 的 每 项 功能 制定 出 


























基本 规则 。 





图 1.2.11 保持 连接 的 统一 性 
1.2.5.2 速率 和 双 工 、Auto MDIMDI-X 的 设置 也 要 统一 规划 


在 前 文中 已 经 讲 过 ， 当 相连 的 两 侣 设备 各 目的 端口 速率 和 双 工 不 一 至 

时 ， 通 信和 是 不 成 立 的 ， 所 以 我 们 必须 制定 好 基本 规则 以 确保 它们 一 致 。 
和 上 一 节 一 样 ， 如 果 现 有 系统 中 已 经 有 了 基本 规则 ， 我 们 最 好 去 遵循 

它 。 如 果 是 新 建 一 个 系统 ， 我 们 束 要 基于 连接 对 象 去 考 碟 速率 和 双 工 的 
设置 。 最 近 ， 连 接 双 方 发 生 兼容 问题 的 情况 已 经 越 来 越 少 ， 所 有 端口 都 
是 目 动 设置 的 情况 则 越 来 越 多 。 这 固然 是 一 种 可 能 存在 的 理想 状态 ， 不 
过 在 这 里 ， 将 连接 双方 手动 设 成 固定 值 还 是 采用 自动 设置 这 件 事 情 并 不 
0 

致 。 

















图 1.2.12 ”让 两 台 设 备 的 速率 和 双 工 保持 一 致 非常 重 要 
1.2.6 ”巧妙 地 配置 设备 


将 设备 分 别 配置 到 楼 层 的 何 处 ， 这 也 是 物理 设计 的 内 容 之 一 。 我 们 要 在 
考虑 整个 物理 结构 及 其 可 扩展 性 的 基础 上 将 设备 分 配 到 楼 层 各 处 。 此 

外 ， 如 何 将 设备 配置 到 机 以 中 去 也 非常 重要 ， 我 们 应 熟悉 设备 规格 并 仔 
细 南 酌 将 它们 配置 到 哪里 以 及 具体 该 如 何 配置 。 


1.2.6.1 ”将 核心 交换 机 和 汇聚 交换 机 置 于 中 央 部 位 


我 们 应 将 设备 置 于 楼 层 的 何 处 ， 又 该 如 何 进 行 具体 配置 呢 ? 这 是 个 关系 
到 网 络 的 物理 结构 和 可 扩展 性 的 问题 。 大 多 系统 都 是 按照 设备 的 角色 和 
功能 去 安排 分 层 结构 中 的 网 络 构造 的 ， 按 照排 列 层 次 去 考虑 设备 的 配置 


应 该 比较 高 效 。 


举 个 例子 ， 假 设 该 系统 由 核心 交换 机 ”、 汇 聚 交换 机 ”和 接 入 交换 机 下 
这 三 种 有 要素 构成 。 这 种 情况 下 ， 接 入 交换 机 之 外 的 其 他 设备 是 不 会 在 突 
然 之 间 大 量 增设 的 ， 于 是 我 们 可 以 将 这 些 设备 配置 在 楼 层 和 机 箱 室 等 指 
定 场地 的 中 央 部 位 。 而 接 入 交换 机 可 能 因 服 务 嚣 合 数 的 增加 而 增加 ， 我 
们 应 将 它们 分 散 配 置 以 应 不 时 之 需 。 接 入 交换 机 有 端 列 头 〈End of 








Row) 和 机 架 顶 (Top of Rack) 两 种 配置 类 型 ， 各 目 也 是 优 缺 点 并 存 ， 
我 们 在 选择 时 应 和 管理 成 本 和 运行 的 人 员 进 行 充分 的 探讨 。 
































9 核心 交换 机 是 在 系统 中 发 挥 核 心 作用 的 交换 机 ， 将 汇聚 (分 布 ) 交换 机 汇集 到 一 起 。 














1 汇 育 交换 机 是 将 接 入 交换 机 汇集 到 一 起 的 交换 机 ， 了 又 叫 分 布 交 换 机 。 


让 接 入 交换 机 是 连接 服务 器 的 交换 机 。 


表 1.2.3 交换 机 有 两 种 配置 类 型 


比较 事项 端 列 头 式 机 架 顶 式 


接 入 交换 器 的 设置 单位 整个 机 架 列 
| 


























每 台 接 入 交换 机 连接 的 服务 器 数量 


跨 机 染 的 线 绕 


线 缆 成 本 


可 扩展 性 


灵活 性 





采用 端 列 尖 式 配置 可 以 一 气 呵 成 地 完成 设备 连接 


端 列 头 式 配 置 是 以 整个 机 架 列 为 单位 配置 接 入 交换 机 的 类 型 。 由 较 大 的 
模块 型 交换 机 接纳 较 多 的 服务 器 ， 如 果 服 务 器 增加 ， 就 增设 接口 模块 来 
对 应 。 采 用 这 种 配置 类 型 会 有 大 量 的 线 统 在 机 染 之 间 穿 插 交 织 ， 线 绕 的 


布线 作业 比较 索 琐 ， 但 是 需要 管理 的 接 入 交换 机 的 数量 比较 少 。 





图 1.2.13 ”采用 端 列 头 式 配 置 时 只 需 管理 少量 设备 即 可 
采用 机 架 顶 式 配 置 可 以 在 整个 机 架 之 间 进 行 连接 


机 架 顶 式 配置 是 以 整个 机 架 为 单位 配置 接 入 交换 机 的 类 型 。 由 较 小 的 固 
定型 交换 机 接纳 机 架 内 的 所 有 服务 器 ， 机 架 内 的 服务 器 配 线 无 需 太 长 ， 

在 机 架 内 部 能 连接 到 设备 即 可 。 由 于 是 在 一 个 个 机 架 中 配置 接 入 交换 

机 ， 需 要 管理 的 设备 数量 会 比较 多 ， 不 过 线 绕 的 布线 作业 比较 轻松 ， 线 
绕 成 本 也 有 所 降低 。 







连接 汇 案 交 换 机 





机 架 旭 ”机 架 册 机 架 柯 机 架 #G 











图 1.2.14 ”采用 机 架 顶 式 配 置 时 线 缆 的 布线 作业 比较 轻松 
1.2.6.2 ”要 考虑 设备 中 空气 吸入 和 排出 的 方 癌 


将 设备 置 于 机 染 的 什么 地 方 ， 具 体 又 是 如 何 安装 的 ， 这 也 是 个 重要 的 问 
题 。 最 近 ， 也 有 数据 中 心 对 空气 的 流动 进行 了 细致 的 设计 ， 通 过 向 机 染 
通道 交 丛 送出 热 空气 和 冷 空气 来 提高 整个 楼 层 的 气 冷 效率 。 在 这 种 空气 
调节 的 设计 中 ， 保 证 冷 热 空 气 不 互相 混合 非常 重要 。 如 果 我 们 不 了 解 各 
种 设备 在 工作 时 哪 面 会 吸入 空气 哪 面 义 会 排出 空气 ， 束 会 叶 致 冷 热 泥 
流 。 所 以 ， 一 定 要 在 仔细 了 解 设 备 规格 之 后 再 将 它们 安装 到 机 架 上 去 。 














向 通道 交 楼 送出 热 空气 
和 冷 空气 





冷 通道 





3 背面 一 向 背面 排出 热 空气 


正面 正面 一 从 正面 豚 入 冷 室 气 





J 充分 考虑 设备 吸入 和 排出 空气 的 方 回 后 再 将 设备 安装 到 机 
洋 


1.2.6.3 ”从 两 套 系 统 获取 电源 


网 络 设备 是 非常 精密 的 电子 机 器 。 无 论 我 们 对 设备 的 功能 和 物理 结构 做 
了 怎样 的 元 余 配置 ， 没 有 电 的 话 设 备 殊 无 法 工作 。 所 以 我 们 还 要 对 电源 
进行 设计 ， 确 保 当 系统 某 处 发 生 断 电 情 况 时 也 能 够 继续 提供 服务 。 


切 英 弄 错 电 源 插 头 


用 于 网 络 设备 和 服务 器 的 电源 种 类 非常 楷 多 ， 我 们 应 根据 设备 的 适用 电 
流 〈(A) 和 电压 〈V) 去 选择 引入 机 架 的 电源 。 这 里 必须 注意 的 是 电源 
插座 的 形状 ， 电 源 插头 和 电源 插座 的 形状 不 吻合 的 话 就 会 因 插 不 进去 而 
无 法 通电 ， 这 是 不 言 上 自明 的 。 因 此 我 们 务必 多 加 注意 ， 不 要 到 时 候 在 机 


架 前 束手无策 ， 只 有 痛 喘 流 涕 的 份 儿 。 


常用 的 电源 插座 有 四 种 形状 。 如 果 电 源 电 压 为 100V， 那 么 可 以 使 用 和 
家 用 电源 插座 一 样 的 NEMA 5-15 型 或 可 锁 式 的 NEMA L5-30 型 插座 ; 
如 果 电 源 电 压 为 200V， 那 么 可 以 使 用 NEMA L6-20 型 或 NEMA L6-30 
型 插座 。L 表示 能 否 味 叭 一 声 就 锁 住 ，L 后 面 的 数字 5 代表 100V，6 代 
表 200V， 横 杠 后 面 的 数字 代表 安 塔 数 。 我 们 应 在 考虑 设备 适用 的 电压 
和 整个 机 架 的 安培 数 之 后 选择 引入 哪 种 电源 。 模 块 型 网 络 设 备 和 刀片 服 
务 器 的 安培 数 会 因 其 安装 的 模块 和 刀片 的 数量 及 种 类 而 变化 。 我 们 在 计 
算 安培 数 的 时 候 要 为 可 扩展 性 考虑 ， 保 留 一 定 余地 ， 避 人 免 出 现 机 架 上 虽 
然 有 空 的 插 槽 却 不 能 使 用 的 突 况 。 


表 1.2.4 电源 插座 有 多 种 形状 








电源 引入 机 架 之 后 会 出 现 两 个 分 支 ， 一 个 是 PDU (Power Distribution 
Unit， 电 源 分 配 单元 / 电源 板 ) ， 男 一 个 是 UPS (Uninterruptible Power 
Supply， 不 间断 电源 ) 。 如 果 电 压 为 100V， 那 么 插座 形状 和 家 用 插座 
是 一 样 的， 直接 使 用 即 可 。 但 如 果 电 压 为 200V， 我 们 束 要 注意 区 别 
PDU 和 UPS 了， 它们 的 插座 形状 分 别 为 EC320 C13 型 和 IEC320 C19 
型 ， 要 使 用 符合 它们 形状 的 电源 线 缆 才 行 。 


表 1.2.5 电压 为 200V 时 应 注意 PDU 和 UPS 的 插座 形状 


连接 的 插座 IEC320 C13 IEC320 C19 


插座 的 形状 
lal 


连接 200V 的 PDU 连接 200V 的 UPS 





按照 用 途 区 别 使 用 电源 系统 


要 想 对 电源 进行 见 余 配置 ， 就 必须 具备 一 个 前 提 ， 那 就 是 在 一 个 机 架 中 
布设 两 套 电源 系统 ， 这 是 绝对 条 件 。 如 果 仅 布设 了 一 套 电源 系统 ， 那 么 
无 论 在 机 架 内 做 怎样 的 电源 元 余 配 置 都 是 毫 无 意义 的 。 这 里 ， 我 们 以 机 
架 中 布设 有 A、B 两 套 电源 系统 为 前 提 进 行 说 明 。 根 据 实际 需要 ， 我 们 
可 能 会 在 两 套 系统 中 都 设置 UPS 或 仅 对 其 中 一 套 设置 UPS。 


对 于 电源 单元 已 做 元 余 配置 的 机 器 ， 我 们 无 需 考虑 太 多 ， 让 其 从 A、B 
系统 分 别 获取 电源 即 可 。 这 样 ， 即 使 其 中 一 套 电源 发 生 故 障 ， 服 务 也 不 
会 受到 丝 坚 的 影响 。 然 而 对 于 电源 单元 未 做 元 余 配 置 的 机 器 ， 我 们 就 要 
根据 设备 本 身 的 见 余 状态 (活动 /待机 、Stack Master/Member 等 ) 和 连 
接 路 线 将 电源 获取 系统 分 开 了 。 如 果 活 动机 和 备用 机 都 是 从 同一 系统 获 
取 电 源 ， 那 么 该 系统 发 生 故 障 时 我 们 融会 一 筹 葛 展 、 无 计 可 施 。 所 以 我 
们 应 该 将 电源 系统 分 开 使 用 ， 让 活动 机 从 A 系统 获取 电源 ， 让 备用 机 
从 BB 系统 获取 电源 。 














电 济 半 元 可 进行 元 合 配 村 
3 次 术 机 L3 交 护 栅 
( 活动 状态 】 【 苦 机 杖 六 } 





图 1.2.16 ”划分 系统 获取 电源 
1.2.6.4” 切 英超 过 最 大 承重 


大 多 数 数据 中 心 和 机 房 的 地 板 都 是 双 层 构造 ， 便 于 从 下 方 歇 送 冷 空气 和 
布设 机 架 之 间 的 线 绕 。 因 此 ， 为 防止 机 架 下 沉 我 们 还 需 确 定 最 大 承重 

值 。 最 大 承重 分 两 种 ， 分 别 是 机 架 的 最 大 承重 和 地 板 的 最 大 承重 。 机 染 
的 最 大 承重 指 的 是 机 架 所 能 承载 的 重量 ， 地 板 的 最 大 承重 则 指 地 板 每 平 
方 米 单 位 所 能 承载 的 重量 。 如 有 果 在 空 处 配置 了 太 多 服务 器 和 网 络 设备 ， 
机 架 无 疑 会 下 沉 。 所 以 我 们 在 考虑 设备 配置 时 还 必须 了 解 它们 的 最 大 重 
量 。 模 块 型 网 络 设备 和 刀片 服务 器 的 重量 会 因 其 安装 的 模块 和 刀片 的 数 
量 而 变化 ， 我 们 要 算出 安装 了 各 种 设备 时 的 最 大 总 重量 ， 并 为 可 扩展 性 
考虑 ， 留 出 一 定 的 余地 。 





机 架 ( 100kg ) 


机 箱 ( 30kg ) 
电源 、 风 房 托 架 ( 20kg ) 

Bkg 

空 质 模 :人 (5kKg 
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图 1.2.17 切 英 超过 最 大 承重 (实际 情况 可 不 会 像 图 例 中 那么 轻 》 


第 2 草 馆 辑 变 计 
本 章 概 要 


本 章 主 要 介绍 用 于 服务 器 端的 数据 链 路 层 和 网 络 层 的 撤 术 ， 以 及 使 
用 这 些 技术 时 的 设计 要 后 。 


最 近 这 几 年 ， 和 网 络 相 关 的 基础 技术 并 未 取得 较 大 发 展 ， 不 过 倒是 
变 得 越发 纯粹 和 简练 了 。 然 而 ， 用 于 服务 器 器 和 客户 端的 刀片 服务 
器 和 虚拟 化 技术 等 却 在 日 新 月 异地 进步 ， 人 们 奶 求 的 网 络 形式 也 在 
不 断 发 生变 化 。 我 们 要 好 好 理解 这 些 技 术 和 规格 ， 设 计 出 最 符合 客 
户 需 求 的 逻辑 结构 ， 以 灵活 应 对 这 些 变化 。 


2.1 数据 链 路 层 的 技术 


数据 链 路 层 在 物理 层 的 上 方 提 供 了 一 种 能 够 正确 且 稳 定 地 传输 比特 流 的 
结构 。 物 理 层 仅仅 负责 将 比特 流转 换 成 信号 并 传递 给 线 绕 ， 既 不 知道 信 
写 会 友 往 何 处 ， 也 不 在 意 茶 一 位 是 任 会 在 某 处 丢失 。 数 据 链 路 层 则 刚好 
能 够 弥补 物理 层 的 这 个 短处 ， 它 能 生成 通 往 相 邻 设 备 的 多 辑 传 输 路 径 
9 可靠 性 。 


2.1.1 数据 链 路 层 是 物理 层 的 帮手 


数据 链 路 层 是 用 于 确保 物理 层 可 靠 性 的 层 。 数 据 链 路 层 中 的 “数据 链 
路 ”表示 由 它 生 成 的 、 和 相 邻 设备 〈 节 点 ) 之 间 的 逻辑 传输 路 径 。 


为 了 判断 应 针对 哪个 节点 生成 数据 链 路 以 及 生成 的 数据 链 路 中 是 否 有 位 
缺失 ， 数 据 链 路 层 会 对 数据 进行 封装 处 理 ， 确 保 物 理 层 的 可 靠 性 。 在 数 
扼 链 路 层 进行 的 这 种 数据 封 沪 处 理 叫 作成 帧 ， 封 装 之 后 的 数据 叫 作 帧 。 
在 数据 链 路 层 定义 了 成 帧 的 各 种 方式 。 


数据 链 路 层 位 于 网 络 层 和 物理 层 之 间 ， 征 从 下 往 上 数 的 第 二 层 。 发 送信 
上 县 时 ， 数 据 链 路 层 将 来 自 网 络 层 的 数据 《数据 包 ) 封装 成 帧 后 交 给 物理 
层 ; 接收 信息 时 则 对 来 自 物 理 层 的 比特 流 做 一 个 和 成 帧 恰好 相反 的 处 

理 ， 然 后 交 给 网 络 层 。 











PC#1 人 浴 送 信和 意 方 } 





图 2.1.1 在 数据 链 路 层 将 数据 封装 成 帧 

用 以 太 网 标准 进行 成 帧 处 理 

下 面 ， 我 们 来 看 看 承担 着 数据 链 路 层 核 心 作用 的 封装 处 理 “ 成 帧 ?具体 是 
怎么 一 回 事 。 


数据 链 路 层 和 物理 层 是 同甘共苦 、 休 戌 与 共 的 关系 ， 成 帧 的 规格 也 和 二 
者 紧密 相连 。 以 往 有 令 牌 环 网 、 帧 中 继 、PPP 等 林林总总 的 各 式 规 格 ， 

不 过 现在 我 们 只 需 记 住 以 太 网 (IEEE802.3〉 这 一 个 就 够 了 ， 接 下 来 本 

书 将 为 你 讲解 以 太 网 (IEEE802.3) 是 如 何 进行 成 帧 处 理 的 。 








Ey 


图 2.1.2 通过 封装 成 帧 确保 位 不 会 丢失 


以 太 网 的 成 帧 规格 可 粗略 划分 为 Ethernet I1T (DIX) 和 IEEE802.3 这 两 
种 。IEEE802.3 是 将 Ethernet I 改 民 之 后 根据 IEEE 标准 制定 出 来 的 ， 
但 实际 上 大 多 数 数据 通信 使 用 的 还 是 Ethernet I[ 规格 。Ethernet [的 帧 
格式 已 经 保持 20 多 年 没 变 了 ， 是 一 种 非常 简约 而 又 容易 理解 的 格式 。 
Ethernet 开 给 数据 〈 数 据 包 ) 添加 前 导 码 、 帧 头 和 FCS (Frame Check 
Sequence， 帧 校 验 序列 〉。 


前 导 码 相当 于 发 送 帧 的 信号 


前 导 码 是 一 个 8 字 节 (64 位) 的 位 数组 ， 相 当 于 一 个 “我 要 发 送 帧 了 
哦 ”的 信号 。 它 和 “10101010...... (中 间 省 略 ) .……. 10101011” 的 位 数组 
Tn 对 方 看 到 这 个 特别 的 位 数组 之 后 就 能 知道 即将 会 接收 到 
由 





帧 头 决定 将 信息 发 至 何 处 
帧 头 由 三 个 字段 构成 ， 分 别 为 目的 MAC 地 址 、 源 MAC 地 址 和 类 型 。 
。 目的 MAC 地 址 / 源 MAC 地 址 
那么 ， 发 送 数 据 时 应 生成 一 个 始 于 何 处 终于 何 处 的 数据 链 路 ， 又 要 
发 送 怎样 的 数据 呢 ? 这 些 都 由 帧 头 定 义 。 在 以 太 网 中 ， 一 般 会 用 一 


个 长 度 为 6 字 节 (48 位 ) 、 叫 作 MAC 地 址 的 识别 信息 去 识别 节 
点 。 发 送 数据 的 节点 在 目的 MAC 地 址 里 写 入 目的 节点 的 MAC 地 





址 ， 这 便 是 数据 链 路 的 终点 ; 在 源 MAC 地 址 里 写 入 本 机 MAC 地 
址 ， 这 便 是 数据 链 路 的 起 点 。 


。 类 型 


类 型 决定 数据 部 分 的 数据 包 使 用 何 种 协议 ， 网 络 层 协议 决定 这 里 的 
具体 数值 是 多 少 。 下 表 中 列 出 了 部 分 具有 代表 性 的 协议 类 型 代码 。 


表 2.1.1 具有 代表 性 的 协议 类 型 代码 


0x0800 IPv4 〈Internet Protocol Version 4， 网 际 协 议 第 四 版 ) 





IPv6 〈Internet Protocol Version 6， 网 际 协 议 第 六 版 ) 





IEEE802.1Q (Tagged VLAN， 加 标签 的 虚拟 局 域 网 ) 





om ARP (Address Resolution Protocol， 地 址 解析 协议 ) 


数据 即 IP 数据 包 


这 里 说 的 数据 指 的 是 从 网 络 层 发 来 的 数据 包 。 有 时 候 也 可 将 其 视 为 
LLC (Logical Link Control， 逻 辑 链 路 控制 ) 数据 ， 不 过 Ethernet I 中 
并 没有 LLC 子 层 的 处 理 。 因 此 ， 我 们 可 以 认为 数据 即 IP 数据 包 。 帧 能 
够 传输 的 数据 长 度 默认 最 大 值 为 1500 字 节 1， 这 个 最 大 值 叫 作 

MTU (Maximum Transmission Unit， 最 大 传输 单元 ) 。 当 数据 长 度 超过 
1500 字 节 时 ， 必 须 对 整个 MTU 进行 数据 分 段 和 封装 ， 然 后 再 转发 到 节 
点 。 关 于 MTU 的 内 容 将 在 3.1.1.3 节 中 详细 说 明 。 


1 人 1500 字 节 的 数字 。 默 认 最 大 值 大 于 1500 字 节 的 帧 叫 作 巨 
型 帧 。 





用 FCS 检查 数据 错误 


FCS (Frame Check Sequence， 帧 校 验 序 列 ) 字段 用 来 检查 数据 是 否 发 

生 了 错误 。 发 送 方 在 发 送信 息 时 会 对 帧 头 和 数据 进行 一 定 的 计算 〈 校 验 
和 计算 ， 又 称 CRC， 即 循环 见 余 校 验 ) ， 并 将 计算 结果 添加 到 FCS 中 

去 。 接 收 方 在 接收 信息 时 会 再 次 进行 同样 的 计算 ， 得 出 的 值 如 果 和 FCS 
中 添加 的 值 一 致 ， 则 认为 帧 是 正确 无 误 的 。 如 果 不 一 致 ， 则 会 认为 数据 
在 传输 过 程 中 发 生 了 错误 ， 于 是 将 数据 丢弃 。FCS 就 是 这 样 在 数据 链 路 
中 起 着 错误 控制 的 作用 。 








相 兴 于 - 涩 要 类 着 
了 醋 7 的 信 生 





E — 导 





rororo [ rorororo [rororomo [19701010 rr RT 
桩 硬 七 个 学 入- 
孝 章 19 


图 2.1.3 以太 网 的 帧 格式 非常 清晰 ， 容 易 理解 


加 278 2013-04.55 3:14;01.230791 392.168.3.20 192.168,1.8 74 Echo {ping} requsst dmGx0001， sz,,, 
ig Frame 278: 74 bytes on we (S92 Pits), 74 yfes captured (592 Has) 
S Etheret H, Sc: AsustekC- Cc1:53:0b (eo:ch:4e:c1:53:0b), Dst: Vwore_ 43:5e:be (00:0c:29:43:5e:be} 
= Destnation: VMWwore_43:5e:be (00:0c:29;43:5€¢:be 
Address: VMware 43:5e:be (00:0c;29:43:5e:;be) 
.0 = TG bit: Indvidual address (unicast) 


已 SoUrce: rr _€1:53:0b (en:cbr4erci153:05b) 
Address: AsustekC _C1153;0b (so0icb:4e1cl115310b) 
.= 1G bit: Individusl oddress (Unicast) 
0 = LG bit: Globaly unique naddress (foectory defsult) 








图 2.1.4 用 Wireshark 分 析 以 太 网 帧 的 画面 


※ 用 Wireshark 进行 分 析 时 无 法 显示 出 前 导 码 和 FCS， 这 是 因为 它们 在 Wireshark 接收 信息 之 前 
就 已 经 被 外 掉 了 ， 分 析 画 面 中 仅 显 示 除 它们 之 外 的 那些 信息 《〈 帧 头 和 数据 ) 。 





看 前 24 位 就 能 知道 网 卡 的 运营 商 


MAC 地 址 是 由 48 位 构成 的 独一无二 的 识别 信息 ， 在 以 太 网 中 扮演 着 数 
据 链 路 起 点 和 终点 的 角色 。 它 的 具体 写法 如 E0-CB-4E-C1-53-CB、 
00:0c:29:43:5e:be, 8 位 束 用 一 个 连 字符 或 冒号 隔 开 ， 用 十 六 进 制 表 
人 No 


MAC 地 址 的 前 24 位 和 后 24 位 有 着 不 同 的 售 义 。 前 24 位 是 由 IEEE 管 
理 的 独一无二 的 运营 商 编 码 ， 叫 作 OUI (Organizationally Unique 
Identifier， 组 织 唯一 标识 符 ) 。 看 这 部 分 我 们 就 能 知道 通信 节点 的 网 卡 
态 哪 家 运 宫 营 商 提供 的 。 顺便 提 一 多， 下 面 的 网 页 中 有 OUI 的 公开 信 
晨 ， 排 除 故 障 时 不 妨 参 考 一 下 。 


URL http://standards.ieee.org/develop/regauth/oui/oui.txt (截至 
2014 年 1 月 的 信息 ) 


另外， 预先 在 Wireshark 的 Capture Options - Name Resolution Be 1 
Enable MAC name resolution 选项 ，MAC 地 址 的 运营 商 编码 就 能 自动 转 
换 成 运营 商 名 。 这 个 功能 意 想不到 地 方便 ， 笔 者 经 常 使 用 。 

















加 Wireshsry; Capture Options 








Capturs 
Interface: Locsl 图 Resltex PCIe GBE Famlly Controller: xDevicesNPF 《F 4EA23A4-| I” | 
ip address: 192.168.1.20 


Unk-layer headaer type; Ethermet =| 


册 Capture packets in promiscudus mode 


Name Raesolution 


将 Ms 的 六 


玲 识 名 





Erablie network name resolution 


Vi Enable transport name resolytion 


ee ee 











图 2.1.5 Wireshark 可 将 运营 商 编码 自动 转换 成 运营 商 名 
后 24 位 是 运营 丙 内 部 管理 的 独一无二 的 编码 。 由 IEEE 管理 的 独一无二 


的 前 24 位 和 由 运营 商 管 理 的 独一无二 的 后 24 位 ， 这 两 个 要 系 使 MAC 
地 址 成 为 了 世界 上 独一无二 的 地 址 。 


EC pp 


48 位 松 成 








前 24 位 和 后 24 位 代表 着 
不 画 的 令 义 


由 1EEE 管理 四 运营 商 管理 


图 2.1.6 MAC 地 址 中 的 每 段 24 位 都 代表 着 不 同 的 意思 
特殊 的 MAC 地 址 


以 太 网 中 的 所 有 通信 都 是 一 对 一 的 形式 吗 ? 并 不 一 定 。 一 般 情 况 是 这 样 
的 ;所 有 节点 共享 一 根 线 绕 〈 传 输 媒 介 ) ， 同 时 生成 大 量 的 逻辑 传输 路 
径 〈 数 据 链 路 ) 与 众多 的 对 象 互通 信息 。 以 太 网 按 通 信和 方式 划分 为 时 

播 、 广 播 和 多 播 三 种 帧 类 型 ， 比 较 党 用 的 是 单 播 和 广播 。 


。 单 播 


单 播 是 一 对 一 的 通信 ， 这 应 该 很 容易 理解 吧 。MAC 地 址 基本 上 都 
是 独一无二 的 ， 因 此 对 应 某 个 节点 可 以 只 生成 一 条 数据 链 路 ， 源 

MAC 地 址 和 目的 MAC 地 址 指 的 就 是 这 两 个 节点 的 MAC 地 址 。 在 
现代 以 太 网 的 环境 中 这 种 通信 所 占 的 比例 很 大 ， 电 子 邮件 和 互联 网 
的 通信 就 属于 这 种 通信 类 型 














区 克 英吉 怖 全 下 >-| 节点 和 的 MAC 地 址 节点 GE 的 MAG 地 址 


[ 本 不 会 向 元 美的 节点 
发 送信 息 | 













Ee | 
E0-CB-4E-C1-53-08 | 60:C5-47-40:3F-8C 


节点 也 的 MAC 地 二 点 DD 的 MAC 拒 直 环 会 向 抱 茵 的 节点 
条 点 也 的 Lil 节点 局 的 MAC 地 汉 送 信介 


图 2.1.7 单 播 是 一 对 一 的 通信 
广播 


广播 是 一 对 多 的 通信 ， 这 里 所 说 的 “多 ”是 指 同一 个 网 络 中 的 所 有 节 
点 。 如 果 某 个 节点 发 送 了 广播 信息 ， 那 么 所 有 的 节点 都 会 收 到 该 信 
上 县。 广播 能 够 波及 的 范围 叫 作 广播 域 。 广 播 的 源 MAC 地 址 就 是 友 
送 节点 的 MAC 地 址 ， 目 的 MAC 地 址 则 比较 特殊 ， 稍 微 有 点 不 
同 ， 写 出 来 是 FF-FF-FF-FF-FF-FF 的 形式 ， 用 位 表示 的 话 全 部 都 是 
1。 


举 一 个 比较 典型 的 广播 通信 的 例子 ， 那 束 是 ARP (Address 
Resolution Protocol， 地 址 解析 协议 ) 。 我 们 来 看 下 ARP 大 致 的 工 
作 原 理 。 假 设 市 点 A 要 对 节点 B 进行 单 播 ， 可 是 节点 A 并 不 知道 
节点 B 的 MAC 地址， 为 了 和 弄 清 这 个 地 址 节点 A 就 要 用 到 广播 ， 通 
过 广播 回 所 有 节点 发 问 “ 请 告诉 我 节点 B 的 MAC 地 址 是 多 少 ”， 弄 
清 了 之 后 再 和 节点 B 进行 单 播 通信 。 关 于 ARP 的 内 容 将 在 2.1.3 节 
中 详细 说 明 。 














一 本 












FF | 60.C5-47-40.3F-6C 





:i 
:。 范 限 就是 广 村 


名 也 有 的 苑 鼎 。 一 a 站 六 
/3 与 Fa 


节点 B 的 MAC 他 起 节点 个 的 MAC 炮 拓 





pp | : 
图 2.1.8 广播 是 针对 所 有 市 点 一 气 呵 成 地 发 送信 息 
。 多 播 


多 播 是 一 对 多 的 通信 ， 看 起 来 似乎 和 广播 差不多 ， 但 这 里 的 “多 ” 指 
的 是 特定 小 组 〈 多 播 组 ) 中 的 节点 。 如 果 某 个 节点 发 送 了 多 播 信 
上 息 ， 那 么 这 个 小 组 中 的 所 有 节点 都 会 收 到 该 信息 。 多 播 的 源 MAC 
地 址 就 是 发 送 节点 的 MAC 地 址 ， 目 的 MAC 地 址 则 比较 特殊 ， 稍 
微 有 点 不 同 。 多 播 MAC 地 址 前 面 第 8 位 的 

IJG (Individual/Group) 位 是 1。 用 于 广播 的 MAC 地 址 (FF-FF-FF- 
FF-FF-FF) 也 算 作 多 播 MAC 地 址 的 一 部 分 。 如 果 要 对 应 多 播 IPv4 
地 址 ， 那 么 前 25 位 是 “0000 0001 0000 0000 1001 1110 0”。 如 果 换 
算 成 十 六 进 制 ， 那 么 就 是 在 “01-00-5E” 后 面 的 一 位 加 个 “0”。“01-00- 
5E” 是 管理 互联 网 上 全 球 IP 地 址 的 ICANN 所 拥有 的 运营 商 编码 。 
后 23 位 是 将 多 播 IP 地 址 (224.0.0.0 ~ 239.255.255.255) 从 后 往 前 
数 的 23 位 复制 了 一 下 。 多 播 用 于 视频 发 布 和 证 券 交 易 所 的 应 用 程 
序 。 使 用 广播 时 ， 所 有 节点 都 会 被 强制 性 地 收 到 信息 。 相 比 之 下 ， 
使 用 多 播 时 只 有 启动 了 该 应 用 程序 的 节点 才 会 收 到 信息 ， 信 息 流 动 
量 的 效率 更 高 。 
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节点 人 的 MAG 地 址 ; | 节点 CG 的 MAC 地 址 
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: 节 底 昌 的 -MAC 地址 节点 的 MAC 地址 











图 2.1.10 IPv4 多 播 的 MAC 地 址 是 在 IP 地 址 的 基础 上 生成 的 


2.1.2 ”数据 链 路 层 的 关键 在 于 L2 交换 机 的 运作 
在 数据 链 路 层 运 行 的 设备 种 类 繁多 ， 不 过 我 们 只 要 掌握 了 L2 交换 机 ， 





基本 上 就 能 应 对 所 有 的 网 络 环 境 了 。“ 交 换 机 ”在 网 络 设 备 的 世界 里 是 个 
常用 术语 ，oo 交 换 机 的 oo 部 分 代表 OSI 参考 模型 的 层 ， 表 示 它 们 是 根 
据 哪 一 层 的 信息 去 切换 转发 地 址 的 。 转 发 地 址 的 切换 叫 作 “交换 ”，L2 

交换 机 根据 数据 链 路 层 〈L2) 的 信息 ， 也 就 是 MAC 地 址 的 信息 对 帧 进 





行 工 2 交换 。 
表 2.1.2 有 各 种 各 样 的 交换 


交换 机 根据 什么 进行 交换 
人 一 应 用 层 ”|L7 交换 机 (负载 均衡 器 ) TR 





| 良机 (多 和) 
En re en 
Pr 


2.1.2.1 交换 MAC 地 址 
接 下 来 ， 我 们 来 看 看 L2 交换 机 是 如 何 进 行 L2 交换 的 。 


L2 交换 机 是 根据 内 存 中 的 MAC 地 址 表 对 帧 进行 交换 的 。MAC 地 址 表 
由 端口 和 源 MAC 地 址 的 信息 构成 ， .看 地 址 表 就 上 知道 哪个 节点 连接 着 
哪个 端口 。L2 交换 机 主要 有 三 项 职责 登记 收 到 的 帧 的 端口 和 源 
MAC 地 址 、 将 来 路 不 明 的 MAC 地 址 进行 泛 洪 处 理 、 删 除 不 再 需要 的 


利用 MAC 地 址 表 进 行 交换 


假设 节 A 和 节点 B 是 双向 通信 的 ?， 我 们 来 看 看 MAC 地 址 表 在 这 里 是 
如 何 派 上 用 场 的 。 


“这 里 的 假设 有 一 个 前 提 ， 那 就 是 节点 A 已 知 节点 B 的 MAC 地 址 。 在 实际 情况 中 节点 A 一 
点 B 的 MAC 地 址 ， 所 以 节点 A 要 先 通过 ARP 广播 确定 节点 B 的 MAC 地 址 之 
后 才能 开始 通信 。 


1 节点 A 将 数据 包 封 装 成 帆 并 传递 给 线 绕 ， 目 的 是 发 给 节点 B。 这 
部 分 还 只 是 在 进行 单 播发 送 ， 源 MAC 地 址 是 节点 A 的 MAC 地 址 ， 目 
的 MAC 地 址 是 节点 B 的 MAC 地 址 。 






























































图 2.1.11 节点 A 癌 节 点 B 发 送 单 播 帧 
如 


2 ~- 交换 机 收 到 帧 后 ， 将 节点 A 的 端口 号 和 源 MAC 地 址 作为 新 的 条 
目 添加 到 MAC 地 址 表 中 去 。MAC 地 址 表 一 开始 是 空 的 ， 从 空 表 的 状 
态 开 始 学 习 帧 并 不 断 添加 新 的 数据 。 





图 2.1.12 将 节点 A 登记 到 MAC 地 址 表 中 去 


3 ”由 于 交换 机 并 不 知道 节点 B 的 MAC 地 址 是 多 少 ， 所 以 会 将 帧 复 
制 并 发 送 给 不 与 节点 A 相连 接 的 所 有 端口 。 这 种 把 帧 同时 发 送 给 多 个 
端口 的 现象 叫 作 泛 洪 ， 是 一 种 “我 不 知道 是 哪个 MAC 地址 ， 所 以 干脆 
发 给 所 有 对 象 再 说 ! ”的 应 对 方法 。 顺 便 提 一 句 ， 广 播 的 MAC 地址 FF- 
FF-FF-FF-FF-FF 不 会 成 为 源 MAC 地 址 ， 因 而 不 会 被 写 入 MAC 地 址 
表 。 也 正 因 如 此 ， 广 播 经 常会 被 泛 潜 。 





图 2.1.13 ”通过 泛 洪 处 理 将 信息 发 给 所 有 端口 


4 节点 B 收 到 帧 之 后 认定 这 是 发 给 自己 的 帧 ， 为 了 回应 节点 A， 也 

人 这 时 候 ， 源 MAC 地 址 是 节点 也 的 MAC 

目的 MAC 地 址 是 节点 A 的 MAC 地 址 。 节 点 了 B 之 外 的 节点 C 和 
点 D 会 判断 出 这 是 和 自 ; 己 无 关 的 帧 然后 将 其 丢弃 。 





图 2.1.14 真正 有 关系 的 节点 B 会 给 出 回应 


5 ~ 交换 机 收 到 帧 后 ， 会 将 节点 也 的 端口 号 和 MAC 地 址 登记 到 
MAC 地 址 表 中 。 这 样 ， 节 点 A 和 节点 B 的 MAC 地 址 表 就 建成 了 。 根 
据 MAC 地 址 表 中 的 登记 内 容 ， 发 给 节点 A 的 帧 会 被 马上 转发 到 1 号 端 
口 。MAC 地 址 表 生 成 之 后 ， 节 点 A 和 节点 B 之 间 的 帧 转发 就 不 会 影响 
到 其 他 节点 ， 能 够 高 效 快速 地 进行 了 。 








图 2.1.15 建立 MAC 地 址 表 





图 2.1.16 ”其 他 节点 不 会 参与 节点 A 和 节点 B 之 间 的 通信 


6 -~ MAC 地 址 表 建 好 之 后 ， 里 面 的 条 目 并 非 是 一 直 保 留 下 去 的 。 一 
直 保 留 下 去 的 话 ， 内 存 再 大 也 会 不 够 用 ， 而 且 节 点 一 旦 转移 到 别处 去 ， 
人 i 因此 ， 与 端 
条 目 会 被 删除 ， 超 过 一 定时 间 未 收 到 帧 时 ， 条 目 会 被 删除 。 从 条 目 生 
人 
默认 值 为 300 秒 (5 分钟) ， 当 然 这 个 时 间 是 可 以 修改 的 。 





图 2.1.17 ”将 不 再 需要 的 条 目 删除 
查看 MAC 地 址 表 
我 们 来 实际 看 看 下 图 中 所 示 的 L2 交换 机 即 Switchl 的 MAC 地 址 表 。 


L2 痊 搞 宙 (Switch1 ) L2 交换 机 { Switch2 ) 


0021.d8cb.f0a5 





图 2.1.18 方便 确认 MAC 地 址 表 的 连接 图 例 


这 里 我 们 使 用 思科 Catalyst 交换 机 来 确认 。Catalyst 交换 机 可 通过 命令 
show mac address-table 去 查看 MAC 地 址 表 。 


Switcihi#show mac sddress-table 
Hac Addrsss Tshle 

Van 

All 

Al1 


Ali 


[a 


cand. 
.C200.0 STATIC 
frEf. STATIC 
d.5e23.3 DYNAMIC 
68cb.foat DYNAMIC 
,b725.8s DYNANMIC 
AND ; 5ba0.6793 DYNAMIC 





Total Hac Addresses for this criterion: 25 


图 2.1.19 Catalyst 交换 机 中 的 MAC 地 址 表示 例 


Mac Address 指 节点 的 MAC 地 址 ，Ports 指 连 接 的 端口 号 。 其 他 几 个 要 
素 也 在 这 里 解释 一 下 : Vlan 将 在 下 一 个 小 节 里 详细 说 明 ， 广 播 和 泛 洪 只 
会 针对 同一 VLAN 发 送信 息 ; Type 指 MAC 地 址 的 类 型 ， 通 过 帧 动态 
学 到 的 内 容 为 DYNAMIC 型 ， 超 过 老化 时 间 条 目 就 会 被 删除 ，STATIC 
表示 是 本 机 静态 设置 的 或 是 系统 上 已 占用 的 MAC 地 址 ， 不 会 被 自动 删 
除 。 


2.1.2.2 ”通过 VLAN 将 广播 域 分 隔 开 


广播 能 够 波及 的 范围 叫 作 广播 域 。 用 来 搜索 单 播 发 送 目的 节点 的 APR 
是 通过 广播 发 送 的 ， 我 们 不 妨 认 为 广播 域 就 是 能 够 直接 收发 帧 的 范围 。 
广播 针对 所 有 节点 一 气 呵 成 地 发 送信 息 ， 似 乎 挺 方便 ， 然 而 帧 会 被 发 送 
到 不 相干 的 节点 名 里， 从 通信 流量 的 角度 来 看 效率 并 不 高 。 这 时 候 我 们 
就 要 用 到 VLAN (Virtual LAN， 虚 拟 局 域 网 ) ， 它 是 交换 机 所 拥有 的 一 
项 功能 ， 能 够 将 广播 域 分 了 喇 开 ， 有 利于 提高 通信 效率 。 


有 些 人 会 把 VLAN 叫 作 网 段 、 网 络 或 LAN (Local Area Network， 局 域 
网 ) ， 称 呼 不 同 ， 但 意思 是 完全 一 样 的 ， 我 们 不 必 太 在 意 ， 知 道 他 们 指 
的 是 VLAN 就 可 以 了 。 
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图 2.1.20 在 同一 个 VLAN 中 ， 所 有 节点 都 会 收 到 广播 信息 


AD 





图 2.1.21 通过 VLAN 将 广播 域 分 隔 开 
VLAN 由 数字 构成 


VLAN 能 将 广播 域 分 隅 开 ， 这 上 听 起 来 似乎 挺 复杂 ， 不 过 VLAN 的 本 质 
其 实 束 是 代表 VLAN ID 的 一 些 数字 ， 其 原理 只 是 将 VLAN ID 的 数字 分 
配给 各 个 端口 ， 由 此 去 识别 端口 而 已 。Catalyst 交换 机 最 多 可 以 支持 
4096 个 VLAN ID， 其 中 有 几 个 已 被 系统 保留 ， 用 于 特殊 的 目的 。 机 型 
和 OS 版 本 不 同 ， 实 际 上 能 够 使 用 的 VLAN ID 范围 和 个 数 也 就 不 同 ， 
这 点 大 家 一 定 要 仔细 确认 。 


表 2.1.3 有 些 VLAN ID 已 被 系统 占用 ， 不 能 使 用 








1 默认 VLAN 


2~1001 用 于 以 太 网 的 VLAN 
1002~1005 FDDI， 令 有 牌 环 网 的 默认 VLAN 
1006~1024 系统 已 占用 的 VLAN 


























1025~4094 用 于 以 太 网 的 VLAN 

















那么 ， 我 们 应 该 如 何 设置 VLAN 呢 ? 这 个 也 并 不 复杂 。VLAN 只 有 两 
种 设置 方法 ， 不 是 端口 VLAN 就 是 打 标 VLAN。 下 面 就 详细 说 明 这 两 
种 设置 方法 。 


端口 VLAN 设置 是 让 端口 和 VLAN 一 一 对 应 





正如 其 名 ， 端 口 VLAN 是 将 VLAN 分 配给 端口 的 设置 方法 ， 有 静态 设 
置 (静态 VLAN) 和 动态 设置 (动态 VLAN， 根 据 基本 规则 的 要 求 动态 
地 进行 设置 ) 之 分 ， 以 使 用 前 者 的 环境 居多 。 动 态 VLAN 一 般 仅 用 于 
CCNA、CCNP 等 思科 公司 的 测试 中 ， 本 书 只 讲解 静态 VLAN。 


静态 VLAN 会 将 VLAN ID 分 配给 端口 。 将 VLAN ID 分 配给 各 个 端 

口 ， 就 完成 了 对 一 台 交 机 的 逻辑 划分 ， 也 束 完 成 了 对 广播 域 的 划分 。 

举 个 例子 ， 将 VLAN1 和 VLAN2 分 配给 端口 之 后 ，VLAN1 所 属 终端 的 
广播 域 和 VLAN2 所 属 终端 的 广播 域 承 不 一 样 了 ，VLAN2 不 会 收 到 
VLANI1 发 出 的 广播 ， 也 不 会 收 到 ARP， 二 者 之 间 无 法 进行 直接 通信 。 
如 果 要 让 VLAN1 和 VLAN2 之 间 产 生 通 信 ， 必 须 通 过 L3 交换 机 或 路 由 
器 等 L3 设备 进行 中 转 才 行 。 设 置 端口 VLAN 时 也 可 以 跨 交 换 机 进行 ， 
但 必须 注意 一 点 ， 那 就 是 有 多 少 VLAN 就 得 准备 多 少 端口 和 线 缆 去 连 
接 交 换 机 。 











光 赞 12 交换 机 
无 法 进行 VLAN 
之 间 的 通信 
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图 2.1.22 基于 端口 设置 VLAN 
打 标 VLAN 


正如 其 名 ， 打 标 VLAN 是 给 VLAN 打上 标签 的 设置 方法 。 打 上 标签 ? 
乍 一 昕 你 也 许 会 觉得 丈 三 和 尚 摸 不 着 头脑 ， 但 实际 上 它 只 是 给 帧 打上 一 
个 包含 VLAN 信息 的 标签 而 已 。 有 两 种 打 标 方法 ， 一 种 是 能 够 传输 非 
以 太 网 帧 的 ISL 方式 ， 另 一 种 是 只 能 传输 以 太 网 帧 的 了 EEE802.1Q 方 
式 。 现 在 的 网 络 环境 大 多 是 以 太 网 ， 因 此 打 标 VLAN 大 多 采用 
IEEE802.1Q 方式 ，IEEE802.1Q 也 是 IEEE 委员 会 制定 的 打 标 VLAN 的 
标准 规格 ， 而 ISL 我 们 只 能 在 CCNA、CCNP 等 思科 公司 的 测试 中 见 
到 。 本 书 只 讲解 EEE802.1Q。 
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图 2.1.23 通过 IEEE802.1Q 为 VLAN 打 标 


端口 VLAN 必须 是 一 个 端口 对 一 个 VLAN， 所 以 如 果 要 路 交换 机 进行 
设置 以 促成 同一 VLAN 内 节点 之 间 的 通信 ， 那 么 有 多 少 VLAN 就 要 准 
备 多 少 端口 和 线 缆 。 但 是 ， 这 种 情况 在 可 扩展 性 上 会 发 生 问题 ， 假 设 有 
1000 个 VLAN， 那 么 我 们 就 得 准备 1000 根 线 绕 和 1000 个 端口 ， 无 论 
是 布线 还 是 设置 都 极其 耗 时 费力 ， 端 口 再 多 也 会 有 不 够 的 时 候 。 


这 时 候 我 们 就 要 用 到 打 标 VLAN。 交 换 机 端口 发 送信 息 时 给 帧 打上 一 个 
含有 VLAN 信息 (VLAN ID) 的 VLAN 标签 ， 目 的 端口 收 到 帧 时 先 御 
掉 标 签 ， 然 后 再 交 给 需要 该 信息 的 节点 。 通 过 打 标 VLAN 能 够 识别 收 
到 了 哪个 VLAN 的 帧 ， 所 以 只 需 一 根 线 缆 和 一 个 端口 即 可 ， 布 线 也 十 
分 简单 。 使 用 打 标 VLAN 时 ， 相 连 的 两 台 设 备 必 须 能 够 识别 出 同样 的 
言 息 才 行 ， 因 此 两 边 设置 的 VLAN ID 务必 要 统一 。 


最 近 ， 打 标 VLAN 不 止 用 于 交换 机 之 间 的 连接 ， 也 越 来 越 多 地 用 在 虚 
拟 环境 《VMware 环境 ) 中 。 在 虚拟 环境 中 ， 来 属于 各 种 VLAN 的 虚拟 
机 共存 于 一 个 物理 服务 器 中 ， 通 过 虚拟 交换 机 出 现在 网 络 上 。 连 接 L2 
交换 机 时 ， 人 针对 需要 连接 的 端口 ， 我 们 必须 要 设置 该 虚拟 机 所 属 的 所 有 
VLAN， 这 时 候 就 要 用 到 IEEE802.1Q 了 。 


在 虚拟 环境 中 ， 虚 拟 机 隶属 于 一 个 叫 作 端口 组 的 虚拟 交换 机 端口 设置 
组 ， 通 过 vSwitch (虚拟 交换 机 〉 连 到 网 络 上 。 假 设 虚拟 机 分 别 隶 属于 
叫 作 VLAN10 和 VLAN20 的 端口 组 ， 那 么 映射 到 vSwitch 上 的 











vmnic (物理 网 卡 ) 就 录 属于 VLAN10 和 VLAN20。vSwitch 给 
VLAN10 和 VLAN20 打上 标签 ， 将 与 vmnic 连接 的 交换 机 端口 划分 到 
打 标 VLAN。 用 vSwitch 进行 的 标签 处 理 叫 作 VST (Virtual Switch 
Tagging， 虚 拟 交 换 机 标记 ) 。 


另外 ， 对 思科 Catalyst 交换 机 而 言 ， 打 标 VLAN 一 般 会 称 为 trunk， 而 
对 其 他 生产 商 生 产 的 机 器 而 言 ，trunk 则 指 的 却 是 链 路 聚合 功能 以 及 由 
该 功能 衍生 出 来 的 逻辑 端口 。 二 者 很 容易 混 消 ， 请 大 家 务必 区 分 清楚 。 
关于 链 路 聚合 的 内 容 将 在 4.1.1.1 市 中 详细 说 明 。 
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图 2.1.24 使 用 端口 VLAN 时 ， 如 果 VLAN 要 跨 交 换 机 会 非常 抹 烦 





图 2.1.25 ”使 用 打 标 VLAN 时 ， 只 需 一 根 线 绕 和 一 个 端口 即 可 









L2 突 换 机 





委 拉 机 
不 两 移 


图 2.1.26 ”虚拟 环境 中 也 经 常会 用 到 打 标 VLAN 
※ 实际 上 1L2 交换 机 中 也 有 对 VLAN 标签 的 处 理 ， 图 中 省 略 未 画 。 





使 用 打 标 VLAN 时 应 统一 本 征 VLAN 


我 们 在 设置 打 标 VLAN 时 要 注意 本 征 VLAN 的 存在 。 设 有 IEEE802.1Q 
的 端口 并 非 对 所 有 的 VLAN 都 会 打 标 ， 有 一 个 VLAN 是 除外 的 ， 那 就 
是 本 征 VLAN。 


这 里 的 关键 在 于 要 保持 相 邻 设备 的 本 征 VLAN 一 致 。 也 许 你 会 想 ， 如 
果 是 不 打 标 的 VLAN 就 可 以 不 用 在 意 咏 ， 然 而 实际 情况 却 并 非 如 此 。 
假设 一 边 的 本 征 VLAN 是 VLAN1 而 另 一 边 的 本 征 VLAN 是 VLAN3， 
那么 它们 会 分 别 映 射 不 同 的 广播 域 ， 二 者 之 间 束 无 法 进行 通信 了 。 所 以 








Catalyst 交换 机 的 默认 本 征 VLAN 是 VLAN1， 当 然 我 们 也 可 以 修改 这 
一 默认 设置 。 另 外 ， 只 有 在 使 用 CDP (Cisco Discovery Protocol， 思 科 


发 现 协议 ) 的 前 提 下 ， 才 能 自动 检测 出 两 边 设备 的 本 征 VLAN 不 一 致 
并 发 出 警告 信息 *%CDP-4-NATIVE VLAN MISMATCH”。 关 于 CDP 的 
内 容 将 在 5.1.4.1 节 中 说 明 。 


本 征 VLAN 在 虚拟 环境 中 的 原理 也 一 样 。 如 果 我 们 在 端口 组 的 VLAN 
ID 中 选择 “无 (0) ”， 那 么 隶属 于 该 端口 组 的 虚拟 机 的 帧 就 不 会 被 打 
标 。 不 被 打 标 也 就 等 同 于 本 征 VLAN。 而 如 果 在 这 里 设置 VLAN ID， 
那么 vSwitch 就 会 给 该 VLAN ID 打 标 。 





图 2.1.27 有 一 个 VLAN 不 会 被 打 标 
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2.1.28 ”两 边 的 本 征 VLAN 如 果 不 一 致 就 无 法 正常 通信 (以 ARP 为 
1) 
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图 2.1.29 在 虚拟 环境 中 也 要 注意 本 征 VLAN 
2.1.3 ARP 将 逻辑 和 物理 关联 到 一 起 


在 网 络 的 世界 里 只 有 两 个 概念 是 表示 地 址 的 ， 一 个 是 前 面 一 直 在 讲 的 
MAC 地 址 ， 另 一 个 则 是 卫 地 址 。MAC 地 址 是 硬件 被 赋予 的 物理 地 
址 ， 在 数据 链 路 层 〈L2) 中 发 挥 作用 。 卫 地址 则 是 由 OS 设置 的 逻辑 地 
址 ， 在 网 络 层 〈(L3) 中 发 挥 作 用 。 这 两 个 地 址 如 果 步 调 不 一 致 就 会 乱 
套 ， 务 必 让 它们 彼此 协调 配合 才 行 。ARP (Address Resolution 
Protocol， 地 址 解析 协议 ) 就 是 能 让 这 两 个 地 址 保持 协调 的 存在 ， 它 在 
物理 和 逻辑 之 间 起 着 桥梁 的 作用 。 





物理 地 址 


MAC 地 址 IP 地 址 





在 网 卡 中 设置 在 OS 中 设置 


图 2.1.30 ”ARP 是 物理 和 逻辑 之 间 的 桥梁 
2.1.3.1 ARP 通过 IP 地 址 查询 MAC 地 址 


ARP 是 物理 和 好 辑 之 间 的 桥 染 ， 这 听 起 来 似乎 非常 襄 深 不 过 它 实际 上 
只 是 将 IP 地 址 和 MAC 地 址 关联 起 来 而 已 ， 并 没有 进行 什么 复杂 的 处 
于。 


我 们 知道 ， 收 到 来 自 网 络 层 的 卫 数据 包 之 后 ， 节 点 必须 将 其 封装 成 帧 
并 传递 给 线 缆 。 然 而 ， 刚 刚 收 到 IP 数据 包 时 节点 并 不 清楚 该 如 何 对 它 
进行 封装 ， 因 为 节点 虽然 知道 源 MAC 地 址 就 是 本 机 的 MAC 地 址 ， 却 
不 知道 目的 MAC 地 址 是 什么 。 这 时 候 就 要 用 到 ARP 了 。ARP 先 去 查 
看 IP 数据 包 的 目的 卫 地 址 ， 如 果 是 同一 网 段 的 节点 ，ARP 束 去 查询 该 
IP 地 址 的 MAC 地 址 ; 如果 是 不 同 网 段 的 节点 ，ARP 就 去 查询 默认 网 关 
的 MAC 地址。 默认 网 关 相 当 于 一 个 通 往 非 本 地 网 段 的 出 口 ， 如 果 数 据 
包 是 发 给 非 本 地 的 其 他 网 段 而 且 并 不 清楚 目的 卫 地址 ， 那 么 它 就 会 被 
发 给 默认 网 关 。 这 里 说 的 “网 段 ” 指 的 是 IP 地 址 的 所 属 范 围 ， 会 在 
2.1.1.2 节 中 另外 详细 说 明 。 在 目前 这 个 阶段 ， 我 们 可 以 认为 广播 域 和 


VLAN 是 同一 个 意思 。 


这 里 请 记 住 一 点 : ARP 是 通过 IP 地 址 去 查询 MAC 地 址 的 。 








通过 ARP 将 两 个 目的 地 址 
关联 起 来 


源 目的 pd 
IP 地 址 | 1P 地 址 数据 





46~ 1500 字 节 


图 2.1.31 ARP 将 两 个 地 址 关联 到 一 起 


ARP 的 原理 很 简单 


ARP 的 原理 很 简单 ， 非 常 容易 理解 。 请 想象 一 下 这 个 场景 : 你 大 声 地 
(广播 ) 问 大 家 “有 菏 东 菏 是 哪 位 啊 ? ”， 于 是 东 东 菏 回 答 “ 我 就 是 某 某 菏 
呵 ! ”。 


这 个 “ 某 某 某 是 哪 位 啊 ? ”的 提问 叫 作 ARP Request (ARP 请 求 ) 。“ 某 某 

某 ” 的 部 分 就 是 从 网 络 层 发 来 的 数据 包 中 目的 地 的 IP 地 址 。ARP 请 求 通 

过 广播 散发 出 去 ， 同 一 VLAN 中 的 所 有 节点 都 会 收 到 该 请 求 。 
ee 

: (VLAN1 ) 






























| 地址， 多 





图 2.1.32 ARP 不 知道 应 将 信息 发 往 何 处 ， 于 是 大 声 询 问 所 有 节 氮 


; (VLANI] 





图 2.1.33 只 有 真正 相关 的 节点 给 出 回应 


针对 ARP 请 求 返回 的 这 个 “我 就 是 某 茶 茶 啊 ! ”的 回应 叫 作 ARP 

Reply (ARP 回复 ) 。 在 同一 VLAN (广播 域 ) 的 所 有 节点 中 ， 只 有 一 
个 真正 拥有 对 象 IP 地 址 的 节点 会 做 出 回应 。 其 他 的 节点 因为 与 己 无 

关 ， 会 将 收 到 的 信息 丢弃 。ARP 回复 不 需要 使 用 广播 ， 它 通过 单 播 将 信 
息 发 给 发 送 ARP 请 求 包 的 节点 。 





图 2.1.34 通过 广播 和 单 播 查 出 对 方 节点 的 MAC 地 址 
以 太 网 的 数据 部 分 中 包含 着 诸多 的 地 址 信息 


ARP 在 以 太 网 的 数据 部 分 写 入 了 很 多 地 址 信息 ， 并 以 此 将 MAC 地 址 和 
IP 地 址 关联 起 来 。 由 于 操作 〈Operation) 和 地 址 之 外 的 数据 都 是 固定 不 
变 的 ， 因 此 本 书 只 介绍 操作 和 地 址 这 两 项 内 容 。 
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[aan | 2 || 








图 2.1.35 ARP 在 数据 部 分 写 入 了 很 多 信息 


ARP 请 求 的 操作 代号 是 1。 请 求 时 ， 节 点 将 源 MAC 地 址 和 源 IP 地 址 设 
置 为 本 机 地 址 ， 将 目的 MAC 地址 设置 为 00-00-00-00-00-00《 因 为 尚 不 
清楚 实际 地 址 是 什么 ) ， 将 目的 卫 地 址 设 为 欲 查 询 其 MAC 地 址 的 节点 
的 卫 地 址 。ARP 请 求 采用 广播 的 形式 ， 收 到 广播 的 所 有 节点 都 会 去 碍 
看 目的 卫 地 址 ， 但 是 只 有 真正 拥有 该 IP 地 址 的 节点 才 会 给 出 ARP 回 
复 ， 拥 有 其 他 IP 地 址 的 节点 则 会 将 收 到 的 信息 丢弃 。 


ARP 回复 的 操作 代号 是 2。 回 复 时 ， 节 点 将 源 MAC 地 址 和 源 卫 地 址 设 
置 为 本 机 地 址 ， 将 目的 MAC 地 址 和 目的 卫 地 址 分 别 设置 为 发 送 了 
ARP 请 求 的 节点 的 MAC 地 址 和 JIP 地 址 。ARP 回复 采用 单 播 的 形式 ， 
向 发 来 ARP 请 求 的 节点 返回 信息 。 收 到 ARP 回复 的 节点 查看 源 MAC 
地 址 和 源 IP 地 址 的 部 分 后 ， 束 能 知道 对 方 的 MAC 地 址 是 多 少 ， 而 知道 
MAC 地 址 之 后 就 可 以 开始 通信 了 。 将 MAC 地 址 和 IP 地 址 关联 起 来 的 
表 叫 作 ARP 表 。 
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MAC 地 址 : B 
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和 通过 查看 目的 人 P 
必 到 际 到 部 分 判断 出 对 方 
EAC I 涯 在 召唤 皇 已 


遂 过 查看 源 MAC 部 分 “iN ; 
知道 节点.B 的 MAC 


图 2.1.36 ”数据 部 分 将 MAC 地 址 和 IP 地 址 关联 到 一 起 





通过 局 速 缓 存 控 制 通信 流量 


读 到 这 里 ， 想 必 各 位 已 经 能 够 了 解 ARP 在 通信 中 的 重要 作用 了 。 对 于 
通信 来 说 ，ARP 是 基础 中 的 基础 。 正 是 因为 通过 ARP 查询 出 发 送 目的 
地 的 MAC 地 址 ， 通 信 才 得 以 成 立 。 


然而 ARP 有 着 致命 的 弱点 ， 那 就 是 “以 广播 发 送 为 前 提 条 件 >。 由 于 一 
开始 发 送 方 并 不 知道 对 方 节点 的 MAC 地 址 ， 使 用 广 捅 也 算是 一 种 必然 
的 选择 。 然 而 广播 会 癌 同 一 网 段 中 的 所 有 节点 都 发 送 数据 ， 是 一 种 效率 
很 低 的 通信 。 假 设 VLAN 中 有 1000 台 节 点 机 ， 那 么 通信 就 会 流向 这 
1000 台 机 器 ， 假 如 每 台 节 点 机 通信 时 都 发 送 ARP， 那 么 仅 ARP 通信 流 
量 就 会 充斥 于 整个 VLAN。 原 本 MAC 地 址 和 IP 地址 就 不 会 频繁 发 生变 
化 ， 于 是 人 们 为 ARP 开发 出 了 可 暂时 存储 条 目的 高 速 缓存 功能 。 


ARP 查询 到 对 方 节点 的 MAC 地 址 后 ， 会 在 ARP 表 中 添加 新 的 条 目 并 
将 其 暂时 保存 。 在 暂时 保存 期 内 ARP 不 会 发 送信 息 ， 超 过 一 定时 间 














《时 限 ) 之 后 则 会 由 反 该 条 目 并 发 送 ARP 请 求 。 时 限 因 OS 而 异 ， 
Windows 7 是 10 分 钟 ， 思 科 公 司 的 设备 则 为 4 个 小 时 ， 当 然 ， 这 些 默 
认 时 限 都 是 可 以 修改 的 。 
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图 2.1.37 ARP 将 信息 发 给 所 有 市 态 ， 但 只 能 收 到 其 中 一 台 节 点 机 的 
回应 ， 效 率 极 低 


下 目的 | E 





图 2.1.38 通过 高 速 缓存 功能 提高 效率 
更 换 设 备 时 要 注意 ARP 高 速 缓存 


高 速 缓存 功能 在 减少 ARP 的 通信 流量 上 人 发挥 看 已 六 的 作用 ， 但 它 并 非 
是 完美 无 缺 的 。 有 了 这 项 功能 ， 实 时 性 就 会 差强人意 ， 这 是 拥有 高 速 绥 
存 功 能 的 所 有 协议 相通 的 一 个 致命 弱点 。 当 IP 地 址 或 MAC 地 址 发 生变 
化 时 ，ARP 表 依 然 保留 着 旧 的 信息 ， 因 此 只 有 等 保留 的 条 目 超过 时 限 
后 ，ARP 再 重新 学 习 一 人 吉 新 地 址 才能 重新 开始 通信 。 











那么 ， 节 点 的 MAC 地 址 或 IP 地 址 会 频繁 发 生变 化 吗 ? 不 会 。 在 大 多 数 
情况 下 MAC 地 址 和 地 址 都 是 一 直 不 变 的 ， 因 此 ， 一 般 情况 下 我 们 不 
必 在 意 ARP 的 这 个 弱点 ， 需 要 注意 的 是 更 换 设备 的 时 候 。 例 如 ， 网 络 
打印 机 突然 出 故障 而 不 得 不 换 掉 了 ， 这 时 候 IP 地 址 还 是 不 变 的 ， 但 
MAC 地 址 会 变 ， 然 而 打印 机 周边 的 节点 并 不 知道 MAC 地 址 的 这 个 变 
化 ， 还 是 会 去 查看 ARP 表 ， 试 图 和 已 经 不 存在 的 MAC 地 址 通信 ， 直 
到 表 中 该 条 目的 时 限 到 来 为 止 〈 超 过 时 限 之 后 才能 重新 开始 通信 ) 。 要 
起 解决 这 个 问题 就 得 全 5 用 GARP， 关 于 GARP 的 内 容 将 在 2.1.3.3 节 中 
详细 说 明 。 
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图 2.1.39 MAC 地 址 一 变 就 无 法 通信 了 
2.1.3.2 ” 抓 取 ARP 包 ， 观 察 它 的 写法 
下 面 两 张 图 是 我 们 抓 取 到 的 ARP 请 求 包 和 ARP 回复 包 的 实例 。 
ARP 请 求 为 广 播发 送 ， 所 以 目的 地 址 为 FF-FF-FF-FF-FF-FF， 此 外 我 们 
还 能 看 到 数据 部 分 写 入 了 很 多 地 址 信息 ;ARP 回复 为 单 播发 送 ， 所 以 目 


的 地 址 为 发 来 ARP 请 求 的 节点 的 MAC 地址， 我 们 能 看 到 该 数据 部 分 
也 同样 写 入 了 很 多 地 址 信息 。 








ET vmware_ 43:5e:be {00:0c;29:43:5e:be) 
日 pr Resolution prorocol (request) J 旋 不 = 和 料 。 
Hardware type: Ethernet (1) 
Protocol type: JP (0x0800) 
Hardware sze: 6 


Protocol size: 4 en yy 
ARP: 求 的 操作 

Opcoda: request (1 ee 

1s qrotuitous: False 





一 在 目的 IP 地 址 中 写 入 欣 查 询 
- 其 MAC 地 给 的 p 地 址 


图 2.1.40 ARP 请 求 是 通过 广播 发 送 的 


如 347 2013-04-20 03;18:24:204440 App 地 70:3f6c Vmware_43;5e:be 0 192.168.1.4 与 涨 50:551473， 


| 
3 Ethemet 1, Src: Apple_70:3f:6c (60:c5:47:70:3f6c), Dst: Vmware- 43:5e:be (00:0c:29:43;Se:be) 
i Desbnaton: Vmware_ 43:5e:be (00:0c:29;43:5e:;be) 
1 Source: Apple_70:3f:6c (60:c5:47:70:3f:6c) A 
Type: ARP (Ox0806) 
Traiter: 0000000000000000000Q0000000000000000 
Address Resolution Protocol (reply) 
Hardware type: Ethermat (1) 
Protccol type: IP (0x0800) 
Hordware size: 65 
OO ARP 可 复 的 接 作 谋 源 MAC 白 址 中 
代号 是 2 写 入 本 胡 籽 证 








在 是 的 地 直下 写 入 发 来 
请 凑 的 苍 点 的 地 址 








图 2.1.41 ARP 回复 是 通过 单 播发 送 的 
2.1.3.3 有 几 个 特殊 的 ARP 


ARP 包 是 支撑 TCP/IP 通信 初期 阶段 的 非常 重要 的 帧 ， 这 里 发 生 问 题 就 
会 无 法 进行 通信 。 为 了 防止 出 现 这 样 的 情况 ， 人 们 设计 了 几 个 特殊 的 
ARP 用 来 及 时 更 新 周边 的 信息 (MAC 地 址 表 和 ARP 表 等 ) ， 它 们 统称 
为 GARP (Gratuitous ARP， 无 故 ARP) ， 下 面 我 们 就 来 详细 说 明 
GARP。 


OS 通过 GARP 能 在 MAC 地 址 发 生变 化 时 发 出 通告 


GARP 是 一 种 特殊 的 ARP， 它 会 在 数据 部 分 的 源 卫 地 址 和 目的 IP 地 址 
中 写 入 本 机 地 址 。GARP 肩负 着 双重 责任 ， 一 个 是 检查 是 否 存 在 相同 的 
IP 地 址 ， 另 一 个 则 是 更 新 相 邻 设备 的 表 。 


。 检查 是 否 存在 相同 的 IP 地 址 


在 公司 或 学 校 的 网 络 环境 中 ， 我 们 可 能 会 不 经 意 就 设置 了 和 别人 一 
样 的 卫 地址 。 这 时 候 OS 会 弹出 报错 信息 警告 我 们 IP 地 址 冲突 ， 
提醒 我 们 去 修改 IP 地 址 ， 这 个 报错 就 是 基于 GARP 的 信息 判断 出 
来 的 。IP 地 址 设置 好 之 后 OS 并 不 急于 马上 反映 出 来 ， 而 是 发 出 
ARP 请 求 去 检查 周边 是 否 存 在 设 有 相同 IP 地 址 的 节点 。 如 果 收 到 
GARP，0OS 就 认为 设 有 相同 IP 地 址 的 节点 确实 存在 ， 弹 出 报错 信 

















息 ; 如 果 没 有 收 到 GARP，OS 才 会 去 反映 前 面 设置 好 的 IP 地 址 。 
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节点 8( Windows ) 
和 AC B 


ARP 请求 (广播 ) 
我 把 |P 设置 成 人 了 | 
lr 
IP” | MAC ”MAC | 代号 ; 
- 5 写 六 盛 设 的 源 外 
000000s . 


Gratuitous ARP{ 单 播 ) 


不 行 不 行 ! 这 个 |P 早 就 已 经 设置 过 了 哦 | 

振作 ;| 源 目的 | 目的 上 
| wc | ap| Nw | | 
elelo 





网 络 纵 误 区 Se ee 
往 疯 于 I 信 地 趟 冲突 I| 
| 
同样 的 从 地 壕 已 被 此 网 九 中 的 另 一 各 计算 机 使 再 ,请 向 网 妖 黎 理 人 | 弹出 报错 信息 


座次 调 并 解 成 雍 久 安 问题 , 汪 情 请 参 锡 Windowy 不 琶 事 件 日 去 。 | 
诈 








图 2.1.42 通过 GARP 检查 是 否 存 在 IP 地 址 冲突 
更 新 相 邻 设备 的 表 


这 里 所 说 的 表 指 的 是 ARP 表 和 MAC 地 址 表 ， 二 者 都 是 通过 GARP 
获得 更 新 的 ， 不 过 形式 稍微 有 些 不 同 。 


首先 我 们 来 看 GARP 是 如 何 更 新 ARP 表 的 。 当 设备 因 发 生 故 障 或 
EoS (End of Support， 终 止 文 持 ) 等 原因 需要 更 换 成 新 机 器 的 时 
候 ， 旧 的 MAC 地 址 会 被 新 的 取代 。 然 而 ， 周 边 的 节点 即使 拥有 新 
机 器 的 ARP 条 目 也 不 会 去 自动 更 新 MAC 地 址 ， 而 是 继续 沿用 旧 





的 信息 ， 结 果 导 臻 通信 无 法 完成 。 这 时 候 就 要 用 到 GARP。 新 的 机 
器 在 对 接 或 启动 时 会 发 出 GARP 通告 ?3 ， 声 明 原来 的 MAC 地 址 已 
变 ， 而 收 到 GARP 的 节点 就 会 去 更 新 该 ARP 条 目 。 
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就 多 通信 


图 2.1.43 通过 GARP 更 新 ARP 条 目 
接 下 来 ， 我 们 看 看 GARP 是 如 何 更 新 MAC 地 址 表 的 。 


这 里 以 虚拟 环境 中 的 GARP 为 例 进行 说 明 。 虚 拟 软 件 拥有 实时 迁移 
功能 ， 它 能 够 在 不 造成 停机 (虚拟 机 〉 的 前 提 下 对 物理 服务 器 进行 
实时 迁移 ， 这 在 Xen 中 叫 作 XenMotion， 在 VMware 中 叫 作 
vMotion。 执 行 实 时 迁移 时 ， 虚 拟 机 会 从 一 台 物 理 服务 器 移动 到 另 
一 台 物 理 服务 器 ， 然 而 L2 交换 机 并 不 知道 这 一 情况 ， 于 是 虚拟 机 
移动 之 后 会 发 出 GARP4 。L2 交换 机 在 收 到 GARP 后 ， 会 去 查看 该 
GARP 的 源 MAC 地 址 ， 并 更 新 MAC 地 址 表 ， 使 迁移 之 后 的 物理 





服务 器 能 够 维持 正常 通信 。 
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图 2.1.44 通过 GARP 追踪 实时 迁移 之 后 的 虚拟 机 


人 GARP 通告 ， 遇 到 这 种 情况 时 我 们 需要 自己 去 清空 周边 节点 的 ARP 


议 ) 。 协 议 虽 然 不 同 ， 原 理 却 是 一 样 的 ，RARP 也 会 去 更 新 MAC 地 址 表 。 





4VMware 的 vMotion 采用 的 是 RARP (Reverse Address Resolution Protocol， 反 向 地 址 转换 协 


2.2 网络 层 的 技术 


网 络 层 将 不 同 的 网 段 连接 起 来 ， 确 保 端 到 端的 正 各 通信; 与 此 相对 ， 数 
据 链 路 层 只 是 将 同一 网 段 中 的 节点 连接 起 来 而 已 。 假 如 我 们 要 连接 国外 
的 Web 服务 器 ， 由 于 网 段 不 同 ， 在 数据 链 路 层 这 个 层面 是 根本 无 法 连 
接 起 来 的 ， 而 网 络 层 却 能 将 数据 链 路 层 中 的 一 个 个 小 网 段 拼接 成 一 个 大 
网 络 。 当 今 ， 互 联网 已 经 是 我 们 日 常生 活 中 不 可 或 缺 的 存在 , “互联 
网 ?其实 融 是 人 们 将 “相互 > 〈Inter) 和 “网 络 ”(Network) 合 二 为 一 创造 
出 来 的 一 个 特殊 词汇 〈 不 过 现在 已 经 是 个 普通 名 词 了 ) 。 大 量 的 网 段 彼 
此 相连 ， 就 形成 了 互联 网 。 


2.2.1 网络 是 由 网 络 层 拼接 起 来 的 


网 络 层 是 确保 不 同 网 段 中 的 节点 能 够 彼此 相连 的 层 。 前 面 已 经 讲 过 ， 数 
据 链 路 层 是 确保 同一 网 段 中 的 相 邻 节点 能 够 彼此 相连 的 屋 。 网 络 层 则 负 
员 将 数据 链 路 层 中 形成 的 网 段 拼 接 起 来 ， 使 不 同 网 段 中 的 不 相 邻 节点 也 
能 够 互联 通信 。 为 此 ， 网 络 层 要 为 报 文 段 添 加 卫 报 兴 。 这 种 添加 IP 报 
头 的 处 理 叫 作 “ 分 组 化 处 理 ”( 国 内 很 多 教材 称 作 “IP 封装 ”) ， 经 过 报 文 
分 组 处 理 得 到 的 数据 叫 作 IP 数据 包 。 网 络 层 中 定义 了 分 组 化 的 各 种 方 


式 。 


网 络 层 是 OSI 参考 模型 中 从 下 往 上 数 的 第 三 层 。 发 送信 息 时 ， 网 络 层 将 
来 目 传输 层 的 数据 《〈 报 文 段 ) 进行 分 组 化 处 理 后 交 给 数据 链 路 层 〈 必 要 
时 还 需要 进行 分 片 处 理 ) ;接收 信息 时 ， 则 是 对 来 目 数 据 链 路 层 的 帧 做 
一 个 和 分 组 以 及 分 上 请 恰好 相反 的 重组 处 理 后 交 给 传输 层 。 


















































PC#11 发 送信 息 方 ) 





图 2.2.1 网 络 层 为 报 文 段 添 加 IP 报头 
2.2.1.1 添加 IP 报头 ， 进 行 分 组 化 处 理 


在 网 络 层 的 分 组 化 处 理 中 为 报 文 段 添加 的 头 部 叫 作 IP 报头 。 前 面 介绍 
过 的 以 太 网 报头 非常 简单 ，IP 报头 就 稍微 复杂 一 些 了 。 为 了 让 报 文 段 在 





人 是 行 无 阻 而 无 需 在 意 网 络 兰 异 ， 卫 报头 中 被 添加 
进 了 大 量 的 信息 


Ue DE ee Te 








| 报关 
， er | : | | CR Sr A 1 Be 






图 2.2.2 IP 报头 中 包含 着 诸多 的 信息 (IPv4 报头 ， 无 可 选 字段 ) 


IP 报头 中 包含 着 诸多 的 信息 ， 但 是 我 们 并 不 需要 去 全 盘 理 解 。 本 书 是 围 
绕 如 何 设计 服务 器 端 展 开 的 ， 因 此 下 面 仪 介绍 一 些 与 该 内 容 相关 的 常见 





字段 以 及 经 常 需要 我 们 去 查询 的 字段 。 
IP 版 本 分 IPv4 和 IPv6 两 种 


首先 我 们 来 看 一 下 版 本 。 版 本 是 指 IP (Internet Protocol， 互 联网 协议 ) 
的 版 本 ，IPv4 为 第 四 版 (用 二 进 制 写 是 0100) ，IPv6 是 第 六 版 (用 二 
进 制 写 是 0110) 。 版 本 不 同 ， 后 面 的 卫 报头 中 的 信息 就 不 一 样 。 图 
2.2.3 和 图 2.2.4 展示 的 是 IPv4 的 IP 报 头 。 


辆 10 10.540000 1.1.1.1 3322 ICMP 114 Echo (ping) resuest Wd=0x0000, seq=0/0, ti-255 





I Fratme 10: 114 tes of wee (90932 hs), 214 res cantisa! (912 bts) 
| ; Erhernet 1], Src: ame er yp Ds: ce:01:0f:70:00;00 (cc:01:0f:70;00:00) 
下 Destination: ce:01:0f:70:00:00 {cc:01:0f:70:00:00) : 
8 Source: cc100:0f;70:00:00 (cc:00:0f:70:00:00) -内 兴 再 报头 
Type: jp (Ox0800 . 
3 Tntemet protocot Version 4, Sre: 1,1:1,1 {E,1.1;1), Dst: 2.2:2.2 {2.2:2.2) 
Vearsion: 4 
Header length: 20 bytes 
= Differentiated Services Field: Ox00 (DSCP 0x00: Defoult; ECN: Ox00; Not-ECT (Not ECN-Capabls Transport)) 
0000 00.. = Differentioted Services Codepoint: Default (Ox00) 


dR CCEA tA 


| aroon 和 
1100 = Reserved bt: Not set 。 : 下 标识 竺 :标志 < 分 片 伯 移 型 】 
. 0...... = Don't fragment: Not set } Eee ;二 
,0, More fragments: NOt set ~ 及 报头 
-de ES ss Sosg ee 
st 和 有 至 -。 协议 斑 每 
ELIE ES ] 
| Ta True] 
[Bad; False] 
WE TY RK) dt rT 
源 / 瑟 的 |P 地址 
| Dectinadon, £6 sa- < 二 
ED Moe ro 





图 2.2.3 ”Wireshark 对 IP 报头 进行 分 析 的 画面 


;看 这 些 字段 就 能 知道 数据 包 
9 竺 XXX | 十 店 如 何 分 片 的 


了 标识 符 : 时 
DF: OMF0 DF: OMF:1 | 
KE 度 ; 





图 2.2.4 根据 IP 报头 信息 可 将 被 分 片 的 数据 包 还 原 


IPv6 是 在 IPv4 地 址 资源 日 渐 枯 竭 的 背景 下 大 张 旗 鼓 地 出 现 于 网 络 界 
的 ， 然 而 从 目前 的 情况 来 看 ， 新 旧版 本 的 过 渡 和 交接 并 不 尽 如 人 意 。 至 
少 对 服务 器 端 而 言 ，IPv6 对 服务 器 应 用 程序 的 支持 较 少 ， 引 进 的 优势 也 
不 明显 ， 因 此 IPv4 的 时 代 可 能 仍 将 继续 下 去 ， 不 会 出 现 突然 需要 全 面 
更 换 版 本 的 情况 。 不 过 我 们 仍然 需要 认 清 今后 的 发 展 趋势 ， 逐 渐 开 始 考 
i i 
将 不 及， 


标识 符 、 标 志和 分 片 偏 移 量 用 于 分 片 


标识 符 、 标 志和 分 片 偏 移 量 这 三 个 字段 部 和 数据 包 的 分 瞩 〈 报 文 分 片 ) 
有 关 ， 它 们 表示 了 数据 包 是 被 如 何 分 片 的 。 











。 标识 符 
标识 符 是 生成 数据 包 时 被 随机 分 配 的 数据 包 ID， 长 度 为 16 位 。 当 
IP 数据 包 因 总 长 度 超过 MTU 而 被 分 片 时 ， 目 的 主机 会 根据 这 个 ID 
对 数据 包 进 行 重组 。 





。 标志 


标志 的 长 度 为 3 位 。 前 工 位 不 用 ; 第 2 位 叫 作 DF 位 (Don't 
fragment bit， 禁 止 分 片 位 ) ， 表 示 是 否 允 许 分 片 ，0 代表 人 允许，1 
代表 不 允许 ; 第 3 位 叫 作 MF 位 (More fragment bit， 后 继 分 片 
位 ) ， 表 示 分 片 之 后 的 数据 包 是 否 仍 有 后 续 ，0 代表 没有 ，1 代表 
有 。 如 果 在 PPPoE 环境 中 将 MTU 设置 错误 数据 包 就 会 丢失 ， 特 定 





的 网 页 就 会 消失 ， 这 种 现象 和 标志 字段 有 关 ， 详 情 将 在 3.1.1.3 市 
中 解说 。 


。 分 片 偏 移 量 


分 片 偏 移 量 表示 分 片 之 后 的 数据 包 位 于 原始 数据 包 的 哪个 位 置 (从 
原始 数据 包 的 开始 处 算 起 ) ， 以 8 字 节 为 单位 。 分 片 之 后 的 第 一 个 
数据 包 的 值 为 0， 后 面 的 数据 包 则 会 写 入 表示 其 位 置 的 值 。 主 机 收 
到 数据 包 后 根据 这 些 值 去 安排 数据 包 的 顺序 。 


TIL 表示 数据 包 的 寿命 


TIL (Time To Live， 生 存 时 间 ) 表示 的 是 数据 包 的 寿命 。 在 IP 的 世界 
里 ， 人 们 用 数据 包 经 过 的 路 由 器 个 数 表示 数据 包 的 寿命 ， 经 过 的 路 由 右 
个 数 ? 叫 作 跳跃 计数 。 每 经 过 一 个 路 由 器 ， 也 就 是 每 经 过 一 个 网 段 
TTL 的 数值 就 要 减 一 ， 当 计数 到 零 时 该 数据 包 就 会 被 丢弃 。 技 弃 数 据 包 
的 路 由 器 会 返回 一 个 ICMP (Internet Control Message Protocol， 互 联网 
控制 报 文 协议 ) 数据 包 ， 该 包 显 示 了 “Time-To-Live exceeded (类 型 11/ 
代号 0) ”的 消 息 ， 通 知 主机 已 将 原 数据 包 于 弃 。 关 于 ICMP 的 内 容 将 在 
2.2.5 节 中 详细 说 明 。 




















” 其实， 数据 包 每 经 过 一 台 运 行 于 网 络 层 或 网 络 层 之 上 的 设备 时 数值 也 都 要 减 一 。 例 如 ， 经 过 
L3 交换 机 或 负载 均衡 器 时 TTL 的 数值 也 会 减少 。 





TTL 用 于 防止 路 由 循环 。 路 由 循环 是 指 错误 的 路 由 设置 导致 IP 数据 包 
在 同一 个 地 方 不 断 循 环 的 现象 。IP 数据 包 即 使 只 是 在 同一 个 网 段 中 不 断 
循环 ，TTL 仍然 会 计数 ， 导 致 数 据 包 最 后 会 被 去 弃 。 不 断 循环 的 数据 包 
并 不 会 一 直 占用 带宽 。 


二 每 经 过 一 个 路 由 器 ,TIL 的 
数值 就 会 残 





人 iTE 变 成 等 了 ,所 以 我 把 
数据 包 云 掉 了 城 


图 2.2.5 TTL 每 经 过 一 个 路 由 器 ， 数 字 就 会 减 一 
协议 编号 表示 数据 遵循 的 是 哪 种 协议 


协议 编号 表示 了 该 数据 章 循 的 是 哪 一 种 协议 。 人 们 定义 了 很 多 种 协议 ， 
笔者 将 工作 现场 中 各 见 的 协议 整理 成 了 如 下 所 示 的 一 张 表 。 


表 2.2.1 现场 中 常见 的 协议 编号 




















ICMP (Internet Control Message Protocol， 互 联网 控制 报 文 协议 ) 




















IGMP (Internet Group Management Protocol， 互 联网 组 管理 协议 


TCP (Transmission Control Protocol， 传 输 控 制 协议 ) 





UDP (User Datagram Protocol， 用 户 数据 报 协议 ) 





GRE (Generic Routing Encapsulation， 通 用 路 由 封装 协议 ) 





50 |ESP (Encapsulating Security Payload， 封 装 安全 载 集 ) 











EIGRP (Enhanced Interior Gateway Routing Protocol， 加 强 型 内 部 网 关 路 由 协 
议 ) 


加 OSPF (Open Shortest Path First， 开 放 式 最 短路 径 优先 ) 








112 |VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 器 宛 余 协议 ) 





源 / 目 的 IP 地 址 表示 网 络 上 的 地 址 


IP 地 址 表示 网 络 上 的 地 址 ， 长 度 为 32 位 ， 一 般 会 采 
用 “XXX.XXX.XXX.XXX” 这 样 的 十 进 制 形式 来 表示 。 


源 人 P 地 址 表示 发 送 方 本 机 的 网 络 地 址 。 网 络 的 世界 都 是 双向 沟通 的 ， 

就 像 一 方 说 “ 委 驾 把 这 样 的 数据 发 给 我 吧 ”*， 男 一 方 回 “ 这 就 发 给 你 蛾 ”， 
然后 这 一 方 又 说 “谢谢 啦 ” 这 样 ， 互 相 来 往 并 以 此 成 立 网 络 世 界 。 对 方 看 
到 源 IP 地 址 字段 ， 瓯 能 知道 应 将 信息 返回 何 处 。 与 源 卫 地 址 相对 的 是 
目的 他 地 址 ， 发 送 方 在 发 送信 息 的 时 候 会 用 到 这 个 地 址 。 


网 络 层 是 因 IP 地 址 而 存在 的 层 ， 我 们 将 在 下 一 节 中 详细 说 明 。 








节点 从 节点 8 


节点 A 的 |P 地 址 节点 8 的 IP 址 
XX.XX.XXXX YY.YY.YY.YY 





。 劳 驾 把 这 样 的 数据 发 给 我 吧 。 













源 |P 地 址 目的 |P 地 址 
YYYYYYYY | XX.XX.XX.XX 






| 谢谢 啦 





图 2.2.6 ”网络 的 世界 都 是 双 同 沟通 的 


最 后 ， 我 们 再 来 把 IP 报头 的 字段 整理 成 一 张 表 看 看 ， 各 位 在 需要 快速 
查询 时 也 可 以 参考 这 张 表 。 


表 2.2.2 也 报头 中 包含 着 诸多 的 信息 


表示 IP 协 议 的 版 本 。 
IPv4: 0100 二进制 ) 
IPv6: 0110 (二 进 制 》 





报头 长 度 


ToS (Type of 


Service， 服 务 


类 型 ) 


标识 符 


分 片 偏 移 量 


报头 校 验 和 











表示 卫 报 头 的 长 度 ， 以 4 字 节 为 单位 








表示 数据 包 的 优先 顺序 ， 用 于 QoS (Quality of Service， 服 务 质 


量 ) 














表示 整个 数据 包 的 长 度 ， 用 字 节 单位 表示 








用 于 识别 数据 包 
分 片 〈 报 文 分 片 ) 时 根据 这 个 字段 识别 它 是 哪个 数据 包 的 分 片 。 
标识 符 由 源 主机 随机 分 配 














表示 数据 包 是 否 允 许 分 片 

第 1 位 : 不 用 

: 表示 是 否 可 以 分 片 

3 人 

: 不 允许 分 片 

: 表示 分 片 之 后 的 数据 包 是 否 仍 有 后 多 
: 没有 后 续 

: 仍 有 后 续 

















示 分 片 之 后 的 数据 包 位 于 原始 数据 包 的 哪个 位 置 





表示 数据 包 的 寿命 

具体 来 说 ， 表示 数据 包 经 过 了 几 台 路 由 器 。 默认 值 为 64， 每 经 过 
立 | 一 台 路 由 器 就 会 减 一 ， 当 路 由 器 收 到 TIL 三 1 的 数据 包 时 会 将 数 
据 包 丢 弃 并 返回 ICMP 数 据 包 











表示 上 层 协议 
ICMP : 1 


ITICP: 6 


UDP : 17 








用 于 检查 IP 报 头 字段 是 否 有 误 的 字段 。 由 于 每 经 过 一 台 路 由 器 











> | TTL 的 数值 就 会 改变 ， 报 头 校 验 和 值 是 以 路 由 器 为 单位 发 生变 化 








的 





源 卫 地 址 “| 位 | 网 络 上 的 主机 源 地 址 。 如 果 没 有 这 个 字段 ， 对 方 就 无 法 返回 数据 


网 络 上 的 对 方 目的 地 址 。IP 数据 包 将 发 送 到 这 个 地 址 





2.2.1.2 IP 地 址 由 32 位 构成 


IP 地 址 是 一 种 由 32 位 构成 的 、 独 一 无 二 的 识别 信息 ， 是 在 网 络 内 外 都 
有 效 的 地 址 。 以 IP 地 址 192.168.1.1 为 例 ， 它 是 将 32 位 按 每 8 位 分 成 4 
组 ， 然 后 换算 成 十 进 制 并 用 小 数 点 分 隔 开 表示 的 。 每 个 区 间 ， 即 每 个 群 
集 ， 叫 作 8 位 字 节 。 从 前 面 开始 ， 分 别 叫 作 第 一 8 位 字 节 、 第 二 8 位 字 
节 ...... 依 次 类 推 。 














TEEEEEETEETEEEE 


'] [ol lololr Tio] 
| 


按 每 8 位 知 分 
后 再 拱 惫 成 十 









性 “En 
策 一 8 人 志学 和 节 贰 二 8 亿 字 节 | 


用 十 进 册 号 时 , 性 三 位 数 
腕 区 用 一 个 小 禾 京 左 开 


图 2.2.7 IPv4 地 址 被 小 数 点 分 隔 成 四 个 区 间 
子 网 掩 码 是 网 络 和 主机 的 标记 


IP 地 址 并 非 单独 存在 ， 而 是 与 子 网 掩 码 相 结合 ， 共 同 发 挥 作用 的 。 卫 
地 址 可 分 为 两 个 部 分 ， 一 个 是 网 络 部 分 ， 另 一 个 则 是 主机 部 分 。 


网 络 部 分 表示 网 段 本 身 ， 也 就 是 说 ， 它 既是 广播 域 也 是 VLAN， 同 时 还 
是 报 文 段 。 主 机 部 分 则 表示 与 该 网 段 相 连 的 节点 。 子 网 掩 码 就 是 将 这 两 
个 部 分 分 隔 开 的 标记 ， 子 网 掩 码 中 的 1 代表 网 段 地 址 ，0 代表 主机 地 

址 。 和 IP 地 址 一 样 ， 设 置 子 网 掩 码 时 每 三 位 数 ( 用 二 进 制 来 表示 的 话 
是 每 八 位 数 ) 就 要 用 一 个 小 数 点 隔 开 ， 最 后 分 成 四 个 部 分 并 换算 成 十 进 
制 。 举 个 例子 ， 假 设 针 对 IP 地 址 172.16.1.1 设置 的 子 网 掩 码 是 




















255.255.0.0， 那 么 我 们 就 能 知道 这 是 网 络 176.16 的 主机 1.1。 


jP 地 址 1 二 进 磷 ) 
oltlolitlolo 一 al 一 一 一 


13 
IP 地 宙 「 十 进 尊 ) | 





图 2.2.8” 子 网 掩 码 将 IP 地 址 分 隔 开 


有 些 特殊 的 IP 地 址 已 被 占用 ， 因 而 无 法 设置 


是 不 是 网 络 中 的 所 有 IP 地 址 都 能 够 使 用 呢 ? 并 不 一 定 。 有 些 IP 地 址 是 
已 经 被 系统 占用 了 的 ， 其 中 有 三 种 常用 于 网 络 设 计 和 故障 排除 ， 它 们 分 
别 是 网 络 地 址 、 广 播 地 址 和 环 回 地 址 。 


。 网 络 地 址 


网 络 地 址 是 指 主机 部 分 的 IP 地 址 位 都 是 0 的 耳 地 址 ， 代 表 了 网 络 
本 身 。 举 个 例子 ， 如 果 针 对 IP 地 址 192.168.1.1 设置 的 子 网 掩 码 是 
255.255.255.0， 那 么 192.168.1.0 就 是 网 络 地 址 。 


人 


1 和 CT 





图 2.2.9 网 络 地 址 的 主机 部 分 都 是 0 


广播 地 址 


广播 地 址 是 指 主机 部 分 的 卫 地 址 位 都 是 1 的 IP 地址 ， 代 表 了 同一 
网 段 中 的 所 有 节点 。 举 个 例子 ， 如 果 针 对 IP 地 址 192.168.1.1 设置 
的 子 网 掩 码 是 255.255.255.0， 那 么 192.168.1.255 就 是 广播 地 址 。 


不 


站 
. 
» 
; 
: 
上 | | 
E $3 : 


ON 


广 捷 地 址 【 十 进 制 





图 2.2.10 广播 地 址 的 主机 部 分 都 是 1 


广播 地 址 有 三 种 ， 分 别 为 本 地 广播 地 址 、 直 接 广 播 地 址 和 有 限 广播 
bos 7 便 说 明 ， 这 里 我 们 假设 某 个 节点 设置 的 IP 地 址 为 
192.168.1.1/24。 


本 地 广播 地 址 指 本 机 上 所属 网 段 的 广播 地 址 。 由 于 192.168.1.1/24 的 
节点 隶属 于 192.168.1.0/24 网 段 ， 所 以 它 的 本 地 广播 地 址 就 是 
192.168.1.255。 疝 192.168.1.255 发 送 报 文 时 ， 同 一 网 段 中 的 所 有 节 
点 都 会 收 到 该 报 文 。 


ELE ELLE 





192.168.1.0/24 192.168.2.0/24 
| 1921681.1 | | 192.16812 | : : f 192.168.2.1 | | 192.168.2.2 | 
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转发 给 同一 网 正中 的 所 有 节点 


图 2.2.11 本 地 广播 地 址 表示 同一 网 段 中 的 所 有 市 反 


直接 广播 地 址 是 指 非 本 机 所 属 网 段 的 广播 地 址 。 由 于 
192.168.1.1/24 的 节点 隶属 于 192.168.1.0/24 网 段 ， 所 以 像 
192.168.2.255、192.168.3.255 这 样 的 地 址 就 是 非 192.168.1.255 的 广 
播 地 址 ， 也 就 是 直接 广播 地 址 。 直 接 广播 用 于 远程 开机 (WoL， 
Wake-on-LAN， 局 域 网 唤醒 ) 6 。 
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图 2.2.12 直接 广播 地 址 代表 不 同 网 段 中 的 所 有 市 反 


最 后 我 们 再 来 看 看 有 限 广播 地 址 。 有 线 广播 地 址 只 有 一 种 ， 其 IP 

地 址 为 255.255.255.255。 向 255.255.255.255 发 送 报 文 时 ， 同 一 网 

段 中 的 所 有 节点 都 会 收 到 该 报 文 ， 这 一 点 和 本 地 广播 地 址 一 样 。 不 
过 ， 有 限 广播 地 址 用 于 不 知道 本 机 IP 地 址 或 网 络 的 情况 ， 也 用 于 

报 文 的 发 送 。 关 于 DHCP 的 内 容 将 在 2.2.4.2 节 中 详细 说 

明 。 









: 192.168.1 LO 192.168,2.0/24 
orattoreaadbeartper, trovetomenn, test oo 
:| 192.1681.1 | | 下 192.168.1.2 1 F19216821 | | 19216922 | : 
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图 2.2.13 ”有限 广播 地 址 代表 同一 网 段 中 的 所 有 节点 
e。 环 回 地 址 


环 回 地 址 表示 设备 本 身 的 IP 地 址 ， 它 的 第 一 8 位 字 节 是 127。 只 要 
第 一 8 位 字 节 是 127， 后 面 无 论 是 多 少 都 没关系 ， 但 人 们 一 般 会 使 
用 127.0.0.1/32。 在 Windows 和 Mac 中 ， 除 了 用 户 自己 设置 的 之 
外 ， 该 IP 地 址 都 自动 设 为 了 127.0.0.1/32。 


前 B 位 是 127 











图 2.2.14 环 回 地 址 代表 设备 本 身 的 地 址 


| 6 WoL 是 一 种 通过 网 络 远程 启动 PC 或 服务 器 的 技术 。 它 通过 发 送 一 个 叫 作 Magic Packet 的 、 
由 特定 比特 流 构 成 的 特殊 报 文 实现 开机 。 如 果 PC 或 服务 器 处 于 等 待 开 机 的 状态 则 无 法 知道 它 
| 们 的 地址， 所 以 要 使 用 直接 广播 。 






































分 类 编 址 ， 一 目 了 然 


IP 地 址 代表 网 络 上 的 地 址 ， 每 个 IP 地 址 在 互联 网 上 都 必须 是 独一无二 
的 才 行 ， 因 此 绝 不 可 以 随便 使 用 。 目 前 ， 由 一 个 叫 作 ICANN (The 
Internet Corporation for Assigned Names and Numbers， 互 联网 名 称 与 数 
字 地 址 分 配 机 构 ) 的 民间 非 营利 性 法 人 及 其 下 属 组 织 管理 和 分 配 着 互联 
网 上 的 IP 地址。 


在 初期 的 互联 网 中 ， 和 人 们 按照 网 络 规模 大 致 划 分 了 IP 地 址 空间 ， 然 后 
将 了 PP 地址 分 配给 了 各 家 企业 和 组 织 ”。 这 里 所 说 的 网 络 规模 叫 作 地 址 


分 类 。 














| ?7 各国 隶 属于 ICANN 的 国家 互联 网 注册 机 构 负责 分 配 自己 国家 的 他 地 址 。 


ICANN 








图 2.2.15 ICANN 及 其 下 属 机 构 管 理 着 IP 地 址 


参考 URL: https://www.nic.ad.jp/ja/ip/ipv4-pool/provider.html 





IP 地 址 分 类 从 A 到 下 有 五 种 ， 用 前 1 一 4 位 区 别 开 。 实 际 上 可 用 于 节 
点 地 址 分 配 的 是 A、B 和 C 这 三 种 类 型 ， 网 络 部 分 和 主机 部 分 以 8 位 字 
节 为 单位 ， 也 就 是 每 隔 8 位 便 分 隔 开 。 这 种 以 每 8 位 分 隔 开 的 地 址 分 配 
方式 叫 作 分 类 编 址 ， 用 这 种 方式 分 配 的 IP 地 址 叫 作 分 类 地 址 。 
@ A 类 
A 类 IP 地 址 的 第 1 位 都 是 0。 前 8 位 为 网 络 地 址 ， 剩 下 的 24 位 为 
主机 地 址 ， 可 分 配给 16 777 214 (224 一 2) 台 机 器 。 拥 有 众多 节点 


的 ISP (Internet Service Provider， 互 联网 服务 提供 商 ) 、 在 互联 网 
创始 期 就 参与 其 中 的 企业 以 及 研究 机 关 等 用 的 就 是 A 类 地 址 。 


eB 类 
B 类 IP 地 址 的 前 2 位 都 是 10， 前 16 位 为 网 络 地 址 ， 剩 下 的 16 位 
为 主机 地 址 ， 可 分 配给 65 534 (21 一 2) 台 机 器 。 规 模 比 ISP 小 一 
些 的 很 多 大 企业 用 的 就 是 B 类 地 址 。 


。C 类 


C 类 耳 地 址 的 前 3 位 都 是 110， 前 24 位 为 网 络 地 址 ， 剩 下 的 8 位 
为 主机 地 址 ， 可 分 配给 254 (28 一 2) 台 机 器 。 所 需 IP 地 址 比较 少 
的 中 小 企业 等 大 多 采用 C 类 地 址 。 


e D 类 


D 类 IP 地 址 的 前 4 位 都 是 1110， 用 作 多 播 地 址 。 多 播 是 一 对 多 
(特定 的 多 播 组 ) 的 通信 方式 ， 比 起 向 整个 网 络 发 送 数据 包 〈 泛 
多 播 的 转发 效率 更 好 ， 因 此 D 类 地 址 一 般 用 于 流 式 
备 放 等 8 。 





。 下 类 
E 类 IP 地 址 的 前 4 位 都 是 1111， 用 于 研究 ， 一 般 不 公开 使 用 。 


8 有 人 以 为 YouTube 是 多 播 ， 这 是 误解 。YouTube 服务 器 和 浏览 器 进行 的 是 一 对 一 的 HTTP 通 
信 ， 所 以 它 是 单 播 。 








x | x | x]x) | er 一 aa 


图 2.2.16 ”地址 分 类 由 前 1 ~~ 4 位 决定 


表 2.2.3 组 织 的 规模 和 所 需 IP 地 址 的 数量 决定 了 使 用 的 地 址 类 型 





B 类 |128.0.0.0 ”|191.255.255.255 ”|16 位 16 位 65 534 (=216 —2) 


192.0.0.0 |223.255.255.255 254 (=28 一 2 ) 
224.0.0.0 “|239.255.255.255 “| 用 于 多 播 的 地 址 








240.0.0.0 已 被 系统 占用 或 用 于 研究 


“由 于 网 络 地 址 和 广播 地 址 不 能 分 配给 节点 ， 所 以 “一 2 之 后 的 数字 
为 最 大 主机 数 。 


10 0.0.0.0 和 127.0.0.0/8 已 被 系统 占用 ， 分 别 用 于 默认 路 由 地 址 和 环 
回 地 址 。 


11255.255.255.255 已 被 系统 占用 ， 用 于 有 限 广 播 地 址 。 
无 分 类 编 址 可 避免 资源 浪费 


前 面 对 分 类 编 址 作 了 详细 的 讲解 ， 不 过 现在 人 们 其 实 已 经 不 再 使 用 它 

了 。 为 什么 呢 ? 因为 分 类 地 址 按 每 8 位 分 隔 开 网 络 和 主机 地 址 的 做 法 虽 
然 使 人 易于 理解 ， 但 也 带 来 非常 多 的 浪费 。 我 们 以 A 类 为 例 来 说 明 。 
按 该 类 的 原则 去 分 配 ， 就 会 消耗 挥 一 半 左 右 可 供 分 配 的 IP 地址 。 试 

想 ， 一 家 企业 会 需要 1600 万 个 IP 地 址 吗 ? 恐怕 不 会 。 分 配 完 真 正 需 要 
的 IP 地址 之 后 ， 剩 下 的 就 只 能 内 置 了 ， 这 是 对 资源 的 巨大 浪费 。 于 是 
人 们 提出 了 一 个 叫 作 无 分 类 编 址 的 全 新 概念 。 目 前 ，ICANN 就 是 用 这 
种 方式 去 分 配 IP 地 址 的 。 


无 分 类 编 址 方式 将 分 类 地 址 分 割 成 一 种 叫 作 子 网 的 更 小 的 地 址 单位 ， 并 
以 此 去 分 配 卫 地 址 。 无 分 类 编 址 又 称 子 网 划分 或 CIDR (Classless Inter- 
Domain Routing， 无 分 类 域 间 路 由 ) 。 除 了 网 络 部 分 和 主机 部 分 之 外 ， 

无 分 类 编 址 中 还 有 一 个 全 新 概念 的 子 网 部 分 ， 构 成 了 新 的 网 络 部 分 。 子 
网 部 分 原 是 属于 主机 部 分 的 ， 但 现在 人 们 利用 它 将 地 址 分 割 成 更 小 的 单 


位 s 


下 面 我 们 以 192.168.1.0 为 例 ， 看 看 如 何 将 原 网 络 划 分 成 若干 个 子 网 。 
192.168.1.1 是 C 等 级 地 址 ， 因 此 网 络 部 分 为 24 位 ， 主 机 部 分 为 8 位 。 
我 们 要 在 主机 部 分 分 出 子 网 ， 给 子 网 分 配 多 少 位 取决 于 我 们 实际 所 需 的 
IP 地 址 数量 和 网 络 数 量 。 假 设 需要 16 个 子 网 ， 那 么 我 们 就 应 分 配 4 位 
给 子 网 以 形成 新 的 网 络 部 分 ， 这 样 才能 分 割 出 16 (24 ) 个 子 网 来 。 这 

















样 做 的 话 ， 我 们 能 得 到 IP 地 址 为 192.168.1.0/28 ~ 192.168.1.240/28 范 
围 内 的 16 个 子 网 ， 并 且 对 每 个 子 网 都 可 以 分 配 14 (24 一 2) 个 全 地 
址 。 


上 PP 地 扯 { 二进制 } 








olelolololololo 





子 同 掉 码 | 十 进 峰 】 

图 2.2.17 无 分 类 编 址 将 网 络 划 分 成 若干 个 子 网 

无 分 类 编 址 的 位 计算 很 及 烦 ， 容 易 算 错 、 也 容易 筷 记 。 尤 其 在 设计 网 络 
时 ， 由 于 子 网 掩 码 不 止 一 个 ， 算 法 会 更 加 复杂 。 笔 者 设计 时 一 般 会 整理 
出 一 张 表 用 来 随时 参考 。 表 2.2.4 就 是 将 192.168.1.0/24 划分 成 16 个 子 
网 时 整理 的 示例 。 


表 2.2.4 将 子 网 整理 成 表 就 一 日 了 然 了 








255.255.255,240 
/125 /26 /128 
126 ( =128-2) 14 {=16-2 


192.168.1.0 

192.168.1.16 
192.168.1.0 

192.168,1.32 

192.168.,1,48 


192.168.1.0 
192.168.1.80 
192.168.1.64 
192.168.1,96 
192.168.1.112 


192.168,1.192 
192.168.1.240 
2.2.2 ”将 网 段 连接 起 来 


在 网 络 层 运 作 的 设备 只 有 路 由 器 和 L3 交换 机 这 两 种 ， 掌 握 了 它们 ， 基 
本 上 就 能 应 对 所 有 的 网 络 环境 。 我 们 在 前 面 已 经 说 过 ，L2 交换 机 的 作 

用 是 根据 数据 链 路 层 (L2) 中 的 MAC 地 址 信息 转发 帧 。 与 此 相似 ， 路 
由 器 和 3 交换 机 是 根据 网 络 层 (L3) 中 的 IP 地 址 信息 转发 数据 包 。 对 
数据 包 的 转发 目的 地 进行 切换 的 过 程 叫 作 路 由 选择 。 


2.2.2.1 利用 IP 地 址 进行 路 由 选择 
接 下 来 ， 我 们 来 看 看 路 由 器 和 3 交换 机 是 如 何 进 行路 由 选择 的 。 
前 面 已 经 说 过 ，L2 交换 机 是 通过 MAC 地 址 表 来 交换 帧 的 。 与 此 相似 ， 


L3 交换 机 和 路 由 右 是 通过 路 由 表 对 IP 数据 包 进 行路 由 选择 的 。 路 由 表 
由 “目的 网 段 * 下 一 跳 “ 路 由 协议 ”“ 上 度量 值 ”* 等 多 种 信息 构成 ， 它 告诉 我 


分 配 网 络 | 192.168.1.0 
192.168.1.128 
192.168.1.128 
192.168.1.160 
192.168.1.128 - 














们 将 数据 包 转 发 给 哪个 IP 地 址 就 能 抵达 目的 网 段 。 其 中 ， 最 重要 的 信 
奶 是 “目的 网 段 ? 和 “下 一 跳 ”， 我 们 就 先 用 这 两 项 来 说 明 路 由 选择 的 基本 
原理 。 

使 用 路 由 表 进 行路 由 选择 


假设 这 里 有 如 下 设置 的 两 个 节点 ， 即 节点 A 和 节点 B， 它 们 是 双 同 通信 
的 ， 我 们 来 看 看 数据 包 是 被 如 何 搬运 的 。 


表 2.2.5 节点 A 和 节点 B 的 设置 


IP 地 址 子 网 掩 码 默认 网 关 
ee 
3 | 


1 节点 A 生 成 卫 数 据 包 ， 封 装 成 帧 后 传递 给 线 绕 ， 目 的 是 发 给 节 
点 B， 这 里 还 只 是 在 进行 单 播发 送 。 源 卫 地 址 是 节点 A 的 了 P 地 址 
(1.1.1.1) ， 目 的 卫 地 址 是 节点 B 的 全 x 地 址 (3.3.3.3) 。 由 于 节点 A 
无 法 和 不 同 网 段 中 的 节点 也 直接 通信 ， 因 此 数据 包 将 会 被 发 给 预先 设置 
好 的 默认 网 关 R1。 
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图 2.2.18 生成 数据 包 并 发 给 默认 网 关 


2 -~ 收 到 数据 包 后 ，R1 去 查看 其 中 的 目的 IP 地 址 并 在 路 由 表 中 查 
找 。 收 到 的 数据 包 的 目的 卫 地址 是 3.3.3.3， 查 找 后 发 现 路 由 表 中 有 
3.3.3.0/24 项 ， 它 对 应 的 下 一 跳 是 R2， 于 是 数据 包 被 发 往 R2。 如 果 RI1 
在 路 由 表 中 找 不 到 该 目的 网 段 ， 那 么 数据 包 就 会 被 丢弃 。 


[2 在 光 册 中 于 








图 2.2.19 查看 路 由 表 ， 找 出 应 将 数据 包 发 往 何 处 的 信息 


3 ~” 收 到 数据 包 后 ，R2 去 查看 其 中 的 目的 卫 地 址 并 在 路 由 表 中 碍 
找 。 收 到 的 数据 包 的 目的 卫 地 址 是 3.3.3.3， 查 找 后 发 现 路 由 表 中 有 
3.3.3.0/24 项 ， 它 是 直 连 的 网 络 ， 于 是 ARP 去 查询 节点 也 的 MAC 地 
址 ， 然 后 将 数据 包 发 给 节点 也。 
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图 2.2.20 问 同 一 网 段 中 的 节点 发 送 数据 包 


4 一 收 到 数据 包 后 ， 节 点 B 断定 该 数据 包 是 发 给 自己 的 ， 于 是 生成 一 
个 回应 数据 包 ， 封 装 成 帧 后 传递 给 线 缆 ， 目 的 是 发 给 节点 A。 这 时 候 ， 
源 IP 地 址 是 节点 B 的 IP 地 址 (3.3.3.3) ， 目的 IP 地 址 是 节点 A 的 了 
地 址 (1.1.1.1) 。 从 节点 B 的 角度 来 看 节点 A 是 不 同 网 段 中 的 节点 ， 因 
此 回应 数据 包 将 会 被 发 给 预先 设置 好 的 默认 网 关 R2。 
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图 2.2.21 生成 回应 数据 包 


5 -~ 对 于 回应 的 数据 包 ，R2 同样 也 会 但 看 目的 IP 地 址 并 在 路 由 表 中 
查找 ， 然 后 转发 给 下 一 跳 。 在 不 断 重复 这 些 步 又 的 过 程 中 最 终 将 数据 包 
发 至 节点 A， 完 成 双向 通信 。 
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图 2.2.22 ”回应 的 数据 包 也 会 去 碍 看 路 由 表 
了 解 路 由 表 的 构造 





1.1.1.0124 2220/24 3.3.3.0/24 


图 2.2.23 方便 了 解 路 由 表 的 通信 结构 示例 


这 里 我 们 使 用 的 是 思科 路 由 器 。 思 科 路 由 器 可 通过 命令 show ip route 碍 
询 路 由 表 〈( 如 图 2.2.24) 。 各 网 络 代 表 目 的 网 段 ，via 后 面 的 IP 地址 束 
是 下 一 跳 的 IP 地 址 。 





启 由 的 学 和 且 的 网 自 AD 箱 / 下 一 跳 接 0 从 
习 方法 度量 值 


图 2.2.24 了 解 路 由 表 的 构造 


顺带 也 介绍 一 下 其 他 几 个 要 素 。 最 前 面 的 1 一 2 个 字母 表示 路 由 的 学 习 
方法 ，C 代表 直 连 ，0 代表 已 经 通过 动态 路 由 选择 OSPF 学 习 过 ，110/2 
分 别 代表 AD 管理 距离 ) 值 和 度量 值 ， 这 几 个 将 在 下 一 节 中 详细 说 
明 。 最 后 还 有 一 个 接口 ID， 它 表示 下 一 跳 位 于 哪个 接口 。 


MAC 地 址 和 IP 地 址 是 彼此 协作 、 共 同 发 挥 作用 的 


MAC 地 址 和 IP 地 址 通过 ARP 彼此 协作 、 共 同 发 挥 作用 。MAC 地 址 是 
物理 地 址 ， 仅 在 同一 网 段 中 有 效 ， 因 此 ， 每 当 需 要 跨越 网 段 一 也 就 是 
需要 跨越 路 由 器 时 一 一 都 必须 更 换 MAC 地 址 才 行 ，ARP 能 解决 这 个 日 
的 MAC 地 址 的 更 换 问题 。 与 此 相对 ，IP 地 址 是 逻辑 地 址 ， 能 够 跨 网 段 
使 用 ， 因 此 ， 从 源 节 点 到 目的 节点 始终 保持 不 变 。 


下 图 展示 了 这 两 个 地 址 是 如 何 彼此 协作 、 共 同 发 挥 作 用 的 。 为 了 帮助 大 
家 理解 ， 图 中 添加 了 目的 / 源 MAC 地 址 。 























图 2.2.25 ”每 跨 一 个 网 段 MAC 地 址 就 要 变换 一 次 
2.2.2.2 ”建立 路 由 表 


路 由 表决 定 着 路 由 选择 ， 而 如 何 建立 这 个 路 由 表 就 是 网 络 层 的 关键 所 
在 。 下 面 本 书 将 为 你 介绍 一 些 入 门 级 别 的 内 容 。 


路 由 表 有 两 种 建立 方式 ， 一 种 是 静态 路 由 选择 ， 为 一 种 是 动态 路 由 选 


J 
静态 路 由 选择 


静态 路 由 选择 是 手动 建立 路 由 表 的 方式 ， 需 要 我 们 一 个 个 地 去 设置 目的 
网 段 和 下 一 跳 。 这 种 方式 容易 理解 也 便于 管理 ， 所 以 比较 适合 小 规模 的 
网 络 环境 ， 但 由 于 需要 逐一 手动 设置 所 有 路 由 器 的 目的 网 段 ， 所 以 并 不 
适合 大 规模 的 网 络 环境 。 


以 下 图 中 的 结构 为 例 ， 在 这 种 结构 中 ， 我 们 需要 通过 静态 选 路 方式 对 
R1 和 R2 分 别 设置 路 由 3.3.3.0/24 和 1.1.1.2/24。 如 果 使 用 的 是 思科 路 由 
器 ， 用 命令 ip route <network> <subnetmask> <next hop> 即 可 实现 静态 路 
由 设置 。 


动态 路 由 选择 





动态 路 由 选择 是 相 邻 的 路 由 口 役 此 交换 路 由 信息 ， 目 动 建立 路 由 表 的 方 
式 。 交 换 路 由 信息 的 协议 叫 作 路 由 协议 。 如 果 和 是 网 络 环境 规模 较 大 或 者 
环境 结构 容易 及 生变 化 的 情况 ， 使 用 动态 路 由 选择 比较 合适 。 使 用 这 种 
方式 ， 即 使 在 新 增 网 段 时 也 无 需 设 置 所 有 的 路 由 器 ， 管 理 起 来 非常 轻 
松 。 而 且 ， 即 使 中 途 及 生 故障 也 能 目 动 碍 找 迁 回路 径 ， 耐 故障 能 为 较 


[Bj o 


不 过 ， 动 态 路 由 选择 并 不 是 万 能 的 。 经 验 不 足 的 管理 人 员 在 匆忙 随意 的 
设置 中 一 旦 出 错 ， 影 响 就 会 波及 整个 网 络 ， 造 成 不 可 收拾 的 后 果 。 为 了 
避免 出 现 这 样 的 局 面 ， 动 手 设置 之 前 我 们 一 定 要 认真 仔细 地 做 好 设计 。 


下 面 ， 同 样 还 是 针对 前 面 那个 网 络 构造 ， 我 们 来 看 看 动态 路 由 选择 是 如 
何 运作 的 。 如 图 所 示 ，R1 和 R2 彼此 交换 路 由 信息 ， 将 获得 的 信息 添加 
到 路 由 表 中 去 。 
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图 2.2.26 ”逐一 手动 设置 路 由 
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图 2.2.27 相 邻 设备 彼此 交换 路 由 信息 ， 自 动 建立 路 由 表 


假设 我 们 要 在 这 个 环境 中 增加 新 的 网 段 。 新 的 路 由 器 一 来 ， 现 有 路 由 器 
就 会 和 新 路 由 器 交换 彼此 的 路 由 信息 ， 路 由 表 获 得 全 面 更 新 (自动 完 

成 ) 。 采 用 动态 路 由 选择 方式 时 ， 路 由 器 的 设置 将 全 部 由 路 由 协议 代 

劳 ， 我 们 无 需 逐 一 手动 设置 。 网 络 上 的 路 由 器 能 够 识别 出 所 有 路 径 的 状 
态 叫 作 收 敛 状态 ， 为 达到 收敛 状态 所 需 的 时 间 叫 作 收 敛 时 间 。 
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图 2.2.28 动态 路 由 选择 让 网 段 的 增加 变 得 轻松 简单 
动态 路 由 选择 还 有 一 个 优点 ， 那 就 是 路 由 协议 的 耐 故 障 能 力 较 高 。 假 设 





有 多 条 路 径 可 以 抵达 目的 地 址 ， 其 中 某 条 路 径 发 生 了 故障 。 这 时 候 ， 动 
态 路 由 选择 能 够 自动 更 新 路 由 表 ， 让 路 由 器 互相 通知 路 由 表 的 更 新 情 
况 ， 确 保 新 的 路 径 畅 通 无 阻 ， 这 样 我 们 就 无 需 特意 去 设置 迁 回路 径 了 。 












B3 
DDNN = 人 
图 2.2.30 即使 发 生 故 障 也 能 确保 迁 回 路 径 畅 通 无 阻 


有 两 种 路 由 协议 


路 由 协议 可 根据 控制 范围 分 为 IGP (Interior Gateway Protocol， 内 部 网 
关 协 议 ) 和 EGP (Exterior Gateway Protocol， 外 部 网 关 协 议 ) 两 种 。 








将 这 两 者 区 别 开 的 概念 叫 作 AS (Autonomous System， 自 治 系统 ) ，AS 
是 指 在 一 个 基本 规则 下 管理 的 网 络 群 组 。 听 起 来 也 许 有 点 高 深 但 我 们 
不 必 想 得 太 复 杂 ， 将 它 理解 为 组 织 (ISP、 人 企业、 研究 机 构 、 网 点 ) 即 











可 。IGP 是 控制 As 内 部 的 路 由 协议 ，EGP 则 是 控制 AS 之 间 的 路 由 协 
议 。 一 般 说 来 ，IGP 使 用 RIPv2、OSPF 和 EIGRP，EGP 则 使 用 BGP。 


frennenne 本 用 于 AS 之 间 ovonoenosae ooweosossesseses , 
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图 2.2.31 根据 控制 范围 可 将 路 由 协议 分 成 两 种 
IGP 的 两 个 要 点 是 路 由 算法 和 度量 值 


IGP 是 用 于 AS 内 部 的 路 由 协议 ， 种 类 繁多 ， 不 过 基本 上 我 们 可 以 认为 
当前 网 络 环境 中 使 用 的 协议 是 RIPvV2 (Routing Information Protocol 
version2， 路 由 信息 协议 第 二 版 ) 、OSPF (Open Shortest Path Fase， 开 
放 式 最 短路 径 优先 ) 和 EIGRP (Enhanced Interior Gateway Routing 
Protocol， 加 强 型 内 部 网 关 路 由 协议 ) 这 三 者 当中 的 一 个 。 在 介绍 它们 
时 必须 提 到 两 个 要 点 一 一 路 由 算法 和 度量 值 。 


。 路 由 算法 


路 由 算法 表示 如 何 建立 路 由 表 。 路 由 算法 不 同 将 直接 影响 到 收敛 时 
间 和 运用 的 网 络 规模 。 IGP 有 两 种 路 由 算法 ， 一 种 是 距离 问 量 型 ， 
另 一 种 是 链 路 状态 型 。 


距离 癌 量 型 算法 根据 距离 和 方 癌 计算 路 由 ， 这 里 所 说 的 距离 是 指 抵 
达 目 的 网 段 所 经 过 的 路 由 器 台数 《跳跃 计数 ) ， 而 方向 是 指 输出 接 
口 。 经 过 多 少 全 路 由 需 才 能 抵达 目的 网 段 就 是 最 佳 路 径 的 判断 标 
准 。 路 由 器 彼此 交换 各 自 的 路 由 表 信 息 ， 以 此 来 建 并 路 由 表 。 


链 路 状态 型 算法 根据 链 路 的 状态 计算 最 佳 路 径 ， 路 由 器 彼此 交换 各 
自 的 链 路 (接口 ) 状 态 、 带 宽 和 IP 地址 等 信息 并 建立 起 数据 库 ， 





然后 根据 这 些 信息 去 建立 路 由 表 。 
。 度量 值 








度量 值 表示 到 目的 网 段 的 距离 ， 这 里 所 说 的 距离 并 非 物理 距离 ， 而 
征 指 逻 辑 距离 。 比 如 ， 我 们 和 地 球 另 一 边 进行 通信 时 ， 度 量 值 并 不 
一 定 就 很 大 。 路 由 协议 不 同 ， 逻 辑 距离 的 计算 方法 也 就 多 种 多 样 。 


IGP 中 的 RIPV2、OSPF 和 EIGRP 都 要 掌握 


前 面 说 过 ， 当 前 网 络 环境 中 使 用 的 路 由 协议 无 非 是 RIPv2、OSPF、 
EIGRP 当中 的 某 一 个 。 笔 者 尚未 听 说 除了 这 三 者 之 外 还 有 什么 新 的 路 由 
协议 ， 可 以 说 它们 涵盖 了 IGP 的 全 部 。 下 面 就 结合 路 由 算法 和 度量 值 分 
别 说 明 一 下 这 三 个 协议 。 


表 2.2.6 掌握 好 RIPV2、OSPF 和 EIGRP，IGP 就 没 问题 了 


细 分 项 目 OSPF EIGRP 





距离 向 量 型 | 链 路 状态 型 
混合 





















































有 变化 就 更 新 有 变化 就 更 新 





pH 多 所 224.0.0.5〈 都 是 OSPF 路 由 器 ) 
更 新 时 使 用 的 多 播 地 址 | 224.0.0.9 224.0.0.6 (都 是 DR 路 由 器 224.0.0.10 


适用 的 网 络 规模 中 到 大 规模 中 到 大 规模 


。 RIPv2 

















RIPv2 是 距离 癌 量 型 的 路 由 协议 。 这 个 协议 最 近 已 经 很 少见 到 了 ， 
但 它 依 然 存 在 于 一 些 旧 的 环境 ， 由 它 过 渡 到 OSPF 或 EIGRP 也 是 





常 有 的 事 。 不 过 ， 现 在 新 建 网 络 环境 时 选用 RIPV2 应 该 是 不 大 可 能 
的 。RIPV2 通过 彼此 定期 交换 路 由 信息 的 方式 建立 路 由 表 ， 原 理 很 
好 理解 。 然 而 随 着 路 由 表 条 目的 增多 ， 这 种 方式 会 过 度 消 耗 带宽 ， 
收敛 时 间 也 较 长 ， 所 以 并 不 适合 大 规模 的 网 络 环境 。 


RIPV2 采用 跳跃 计数 作为 度量 值 ， 跳 跃 计数 表示 要 经 过 多 少 台 路 由 
铝 才 能 抵达 目的 网 段 ， 经 过 的 路 由 咒 越 多 距离 就 越 远 。 这 个 协议 的 
原理 也 非常 简单 易 懂 ， 但 是 它 缺 点 很 多 ， 例 如 它 会 不 顾 融 宽 的 实际 
情况 来 判断 最 佳 路 径 。 也 惑 是 说 ， 即 使 有 的 路 径 带 宽 较 小 ， 该 协议 
也 会 将 跳跃 计数 最 小 的 路 径 当 成 最 佳 路 径 。RIP 中 当然 也 有 更 古老 
的 RIPvl 版 本 ， 不 过 v1 只 能 用 于 分 级 地 址 ， 现 在 已 经 完全 看 不 到 
Ts 











图 2.2.32 ”RIP 根据 跳跃 计数 决定 路 径 
OSPF 
OSPF 是 链 路 状态 型 的 路 由 协议 。 它 是 一 种 标准 化 了 的 路 由 协议 ， 





常常 用 于 多 厂商 的 网 络 环 境 。OSPF 下 的 路 由 器 彼此 交换 各 自 的 链 
路 状态 、 带 宽 、 卫 地 址 和 网 段 等 信息 ， 建 立 链 路 状态 数据 库 
(LSDB) 并 通过 相关 数据 计算 最 佳 路 由 ， 然 后 建立 起 路 由 表 。 
RIPv2 是 彼此 定期 交换 路 由 表 人 信息， 而 OSPF 则 只 在 发 生变 化 时 才 
去 更 新 信息 。 除 此 之 外 ，OSPF 在 正常 情况 下 只 发 送 一 个 Hello 小 
数据 包 ， 用 来 检查 对 方 是 否 处 于 正常 运作 状态 ， 因 此 不 会 过 上 度 占 用 
珊 宽 。OSPF 中 有 一 个 重要 的 概念 叫 作 区 域 。 为 了 防止 汇集 了 各 种 
信息 的 LSDB 因 信息 过 多 而 腑 和 肿 膨胀 ， 网 络 被 分 成 了 好 几 个 区 域 ， 
只 有 同一 区 域 中 的 路 由 器 能 够 共 诗 LSDB。 











OSPF 采用 开销 作为 度量 值 。 开销 在 默认 情况 下 使 用 “100/ 带宽 
Mbit/s” 的 公式 来 计算 。 带 宽 越 大 开销 就 越 小 ， 每 跨 一 个 路 由 器 就 会 
多 算 一 个 输出 接口 。 因 此 ， 路 由 器 的 带宽 越 大 就 越 容易 成 为 最 佳 路 
径 。 如 果 学 习 的 路 径 完全 相同 ， 则 选用 开销 相同 的 所 有 路 径 去 传输 
数据 包 以 分 散 负 荷 ， 这 种 情况 叫 作 等 价 多 路 径 。 
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图 2.2.33” ”OSPF 根据 开销 决定 路 径 
EIGRP 


EIGRP 是 距离 向 量 型 路 由 协议 的 加 强 版 ， 是 思科 公司 特有 的 一 个 路 
由 协议 ， 只 能 在 由 思科 路 由 器 和 Catalyst 交换 机 构成 的 网 络 环境 中 
使 用 。 只 要 有 具备 相应 的 环境 ， 该 协议 就 能 发 挥 巨 大 作用 。EIGRP 结 
合 了 RIPv2 和 OSPF 各 自 的 优点 。 它 先是 交换 彼此 的 路 由 信息 ， 各 
自 建立 拓扑 表 ， 然 后 从 中 抽取 最 佳 路 径 的 信息 建立 起 路 由 表 。 这 部 
分 和 RIPv2 有 点 相似 ， 不 过 EIGRP 只 在 发 生变 化 时 才 去 更 新 路 由 
表 。 此 外 ，EIGRP 在 正常 情况 下 只 会 发 送 一 个 Hello 小 数据 包 ， 用 
来 检查 对 方 是 否 处 于 正常 运作 状态 ， 这 部 分 又 和 OSPF 相似 。 


EIGRP 默认 采用 带宽 和 延 时 作为 度量 值 。 带 宽 用 “10000/ 最 小 带宽 
(Mbit/s) ”的 公式 计算 ， 最 小 带宽 为 通 往 目的 网 段 的 路 径 中 带宽 的 
最 小 值 。 延 时 用 “ 微 秒 /10” 的 公式 计算 ， 每 跨 一 个 路 由 器 就 会 多 算 
一 个 输出 接口 。 将 这 两 个 数字 的 和 乘 以 256 得 出 的 数值 就 是 EIGRP 
的 度量 值 。EIGRP 的 默认 设置 也 是 等 价 多 路 径 。 如 果 几 个 路 径 的 度 
量 值 完 全 相同 ， 则 选中 所 有 这 些 路 径 去 传输 数据 包 ， 进 行 负载 均 








衡 。 
EGP 中 只 需 掌握 BGP 即 可 
EGP 是 用 于 AS 之 间 的 路 由 协议 于 。 前 面 讲 过 IGP 有 三 种 类 型 ，EGP 
却 只 有 BGP 〈Border Gateway Protocol， 边 界 网 关 协 议 ) 这 一 种 类 型 ， 


所 以 淋 构 服务 器 问 时 做 好 BGP 即 可 。 在 介绍 BGP 时 必须 提 到 两 个 要 
点 ， 那 就 是 路 由 算法 和 最 佳 路 由 选择 算法 。 


12 BGP 也 可 用 于 AS 内 部 ， 用 于 AS 内 部 的 BGP 叫 作 iBGP， 用 于 AS 之 间 的 BGP 叫 作 
eBGP。 


























BGP 是 路 径 向 量 型 协议 ， 根 据 路 径 和 方向 计算 路 由 。 这 里 所 说 的 路 径 表 
示 抵 达 目 的 网 段 所 经 过 的 AS 数 ， 方 向 则 表示 BGP 对 等 体 。 经 过 多 少 
AS 才能 抵达 目的 网 段 是 最 佳 路 径 的 判断 标准 之 一 ，BGP 对 等 体 指 的 是 
和 本 机 交换 路 径 信息 的 对 象 。BGP 指定 了 对 等 体 后 ， 建 立 一 对 一 的 
TCP 连接 并 在 其 中 交换 路 径 信息 。 和 BGP 对 等 体 交 换 路 由 信息 之 后 建 
立 BGP 表 ， 根 据 一 定 的 规则 (最 佳 路 由 选择 算法 ) 选择 最 佳 路 径 。 接 
下 来 ， 只 把 最 佳 路 径 添 加 到 路 由 表 中 去 ， 同 时 传播 给 BGP 对 等 体 。 
BGP 和 OSPF、EIGRP 一 样 ， 仪 在 发 生变 化 时 才 去 更 新 路 由 表 (通过 
UPDATE 消息 更 新 ) 。 另 外 ， 它 在 正常 情况 下 通过 KEEPALIVE 消息 判 
断 对 方 是 否 处 于 正常 运作 状态 。 














tt 


| 在 网 正和 看 来 ,这 是 通 向 网 段 B 的 代替 路 径 





带 训 + 延 时 2 616 320 
={(10.000/1)+{2:200/10j} x 256 
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在 风 正太 看 来 ,这 是 通 向 网 段 B 的 最 佳 政 给 
带宽 -+ 延 时 ; 38 400= 
={(i0:000/100}+500710)} x 256: 


图 2.2.35 ”BGP 默认 根据 经 过 的 AS 数量 决定 路 径 


最 佳 路 由 选择 算法 是 一 种 规则 ， 用 来 判断 哪 条 路 径 是 最 佳 路 径 。 互 联网 
通过 BGP 将 全 世界 所 有 的 AS 连接 成 网 状 ， 这 样 的 范围 必然 会 牵涉 到 
国家 、 政 治 和 金钱 。 为 了 灵活 应 对 各 种 情况 ，BGP 中 配置 了 多 种 路 由 控 
制 功 能 。BGP 的 路 由 控制 是 通过 属性 来 实现 的 。UPDATE 消息 中 含有 


NEXT_HOP、LOCAL_PREF 等 各 种 属性 ， 这 些 属 性 都 会 号 入 BGP 表 。 
然后 ， 根 据 最 佳 路 由 选择 算法 选 出 最 佳 路 径 。 如 下 图 2.2.36 所 示 ， 按 从 
上 至 下 的 顺序 进行 比较 和 淘汰 ， 一 旦 出 局 就 不 再 入 选 。 最 后 ， 将 选 出 的 
最 佳 路 径 添 加 到 路 由 表 中 去 ， 同 时 传播 给 BGP 对 等 体 。 








首选 WEIGHT 最 大 的 路 径 ( 已 科 公 司 特有 ) rr] 
ET 


在 通过 刘 GP 学 到 的 路 径 和 通过 eBGP 学 到 的 路 径 之 间 ， 首 选 后 者 


首选 对 NEXT_HOP 拥有 最 小 度量 什 的 路 径 





如 时 部 奸 eBGP， 善 选 先 学 到 的 路 径 
普选 路 由 器 ID 最 小 的 路 由 器 发 布 的 路 径 


图 2.2.36 根据 最 佳 路 由 选择 算法 不 断 进行 优胜 务 汰 





BGP 对 等 体 


BGP 路 由 器 TCP 连 接 BGP 路 由 器 





二 根据 一 定 的 算法 

选 出 最 佳 路 径 

大 风机 最 性交 和 | 最 佳 路 
全 柜 到 全 局 只 把 最 佳 路 径 
深 加 到 表 中 去 i | 传播 给 对 等 体 


图 2.2.37 从 BGP 表 中 选择 最 佳 路 径 
“再 发 布 ? 让 我 们 能 够 同时 使 用 多 种 路 由 协议 


前 面 对 RIPV2、OSPF、EIGRP 和 BGP 一 一 作 了 说 明 。 这 四 种 协议 各 自 
使 用 不 同 的 路 由 算法 和 度量 值 ， 处 理 过 程 也 各 不 相同 ， 不 能 互相 兼容 。 
那么 ， 架 构 网 络 时 使 用 一 个 统一 的 路 由 协议 ， 整 体 上 也 比较 清晰 岂 不 是 
更 好 ? 然而 现实 却 没 有 那么 简单 。 公 司 可 能 会 合并 或 分 化 ， 现 有 设备 可 
能 并 不 支持 指定 的 路 由 协议 ， 各 种 特殊 情况 夹杂 交织 ， 常 常 使 我 们 不 得 
不 同时 使 用 多 种 路 由 协议 。 这 时 候 ， 我 们 需要 将 它们 转换 一 下 形式 ， 使 
它们 能 够 彼此 协作 。 这 个 转换 作业 叫 作 再 发 布 ， 也 有 人 称 之 为 重 分 发 
(Redistribution) ， 叫 法 和 写法 因 人 而 异 ， 但 都 是 同一 个 意思 。 














图 2.2.38 ”再 发 布 使 多 种 路 由 协议 能 够 同时 使 用 

再 发 布 需要 在 边界 路 由 器 中 设置 。 边 界 路 由 器 是 连接 不 同 路 由 协议 的 路 
由 器 ， 它 会 选 出 路 由 表 中 通过 路 由 协议 学 到 的 、 需 要 转换 的 路 由 条 目 
将 其 转换 之 后 传播 给 对 等 体 。 

2.2.2.3 ”整理 路 由 表 


前 面 痢 重 讲解 了 如 何 建立 路 由 表 ， 接 下 来 我 们 看 看 建 好 之 后 的 路 由 表 。 
人 分 别 为 最 长 匹配 原则 、 路 由 汇总 和 AD 





优先 选择 更 加 细 长 的 路 径 〈 最 长 匹配 原则 )》 


最 长 匹配 原则 是 关于 路 由 表 中 路 由 匹配 的 一 条 规则 ， 即 当 有 多 条 符合 

的 IP 地 址 条 件 的 路 径 存 在 时 ， 它 会 选择 子 网 掩 码 最 长 的 那 条 路 径 。 我 
们 知道 ， 路 由 器 收 到 IP 数据 包 之 后 会 去 伍 看 数据 包 的 目的 IP 地 址 。 在 
最 长 匹配 原则 下 ， 路 由 器 对 IP 地 址 的 查看 会 精确 到 路 径 条 目 中 子 网 掩 
码 的 位 ， 以 此 来 选 出 最 符合 条 件 的 路 径 ， 也 就 是 子 网 掩 码 最 长 的 那 条 路 
径 ， 然 后 将 数据 包 转 发 给 下 一 跳 。 




















收 到 的 数据 鲜 中 的 自 的 太 地 起 





图 2.2.39 ”路 由 器 对 子 网 掩 码 的 查看 精确 到 位 ， 以 此 来 选 出 最 符合 条 
件 的 路 径 


我 们 以 实际 的 网 络 环境 为 例 来 考查 一 下 。 假 设 某 路 由 器 拥有 三 条 路 径 ， 
分 别 是 192.168.0.0/16、192.168.1.0/24 和 192.168.1.0/26， 而 这 人 台 路 由 器 
收 到 了 一 个 目的 IP 地 址 为 192.168.1.1 的 卫 数据 包 ， 于 是 每 条 路 径 都 符 
合 192.168.1.1 这 个 条 件 ， 这 时 候 就 可 以 用 到 最 长 匹配 原则 。 路 由 器 会 
选择 子 网 掩 码 最 长 的 路 径 192.168.1.0/26， 将 数据 包 转 发 给 1.1.1.3。 

















图 2.2.40 ”选择 子 网 掩 码 最 长 的 条 日 
“路 由 汇总 ”将 多 条 路 径 汇集 起 来 


将 多 条 路 径 汇 集 起 来 的 做 法 叫 作 路 由 汇总 。 路 由 器 收 到 IP 数据 包 后 会 
对 路 由 表 逐 条 但 询 ， 随 着 条 目的 增多 ， 作 业 负 和 荷 会 越 来 越 大 ， 这 是 一 个 
足以 致命 的 弱点 。 为 了 提高 使 用 效率 ， 现 代 网 络 大 都 采用 通过 无 分 类 编 
址 划分 子 网 的 结构 ， 而 子 网 划分 又 意味 着 作 业 负 和 荷 将 会 随 痢 路 径 的 增加 
而 增加 。 路 由 汇总 束 是 在 这 样 的 背景 下 出 现 的， 它 将 下 一 跳 相 同 的 所 有 
路 径 汇 集 起 来 以 减少 路 径 的 数量 ， 进 而 减少 路 由 右 的 作业 负 答 。 

路 由 汇总 的 方法 非常 简单 。 它 将 下 一 跳 相 同 的 所 有 路 径 的 网 络 地 址 转换 
成 位 ， 再 将 共同 的 位 转移 到 子 网 掩 码 中 去 。 举 个 例子 ， 假 设 某 台 路 由 器 
拥有 表 2.2.7 中 所 示 的 几 条 路 径 ， 在 这 种 状态 〈 路 由 汇总 前 ) 下 收 到 IP 
数据 包 的 话 ， 路 由 器 至 少 要 对 路 由 表 碍 询 四 次 。 


表 2.2.7 ”路 由 汇总 之 前 的 路 径 


目的 网 段 下 一 跳 














192.168.1.0/24 中 同 辐 本 
192.168.2.0/24 1.1.1.1 
192.168.3.0/24 Iles ie il 





我 们 来 对 表 内 的 路 径 作 一 下 路 由 汇总 。 表 2.2.7 中 的 目的 网 段 转换 成 位 
之 后 的 结果 如 图 2.2.41 所 示 ， 前 22 位 的 位 数组 都 是 一 样 的 ， 因 此 可 以 
把 它们 汇总 到 192.168.0.0/22 中 去 。 这 样 ， 当 路 由 器 收 到 IP 数据 包 时 只 
需 查询 一 次 路 由 表 就 可 以 了 。 也 许 你 会 觉得 不 过 是 把 四 次 降 到 了 一 次 而 
己 ， 没 什么 大 不 了 的 ， 但 是 积 少 成 多 、 聚 沙 成 塔 ， 实际 上 有 可 能 是 几 十 
万 条 路 径 都 汇总 成 一 条 ， 变 化 之 大 ， 令 人 咀 舌 。 
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汇 芒 之 向 的 路 店 表 | 





图 2.2.41 通过 共同 的 位 实现 路 由 汇总 





路 由 汇总 的 最 高 形式 是 默认 路 由 。 默 认 路 由 将 所 有 路 径 汇 总 成 一 条 ， 如 
果 没 有 符合 目的 卫 地 址 的 条 目 ， 路 由 器 就 会 将 数据 包 发 送 给 默认 路 由 
的 下 一 跳 ， 也 就 是 默认 网 和 天 。 上 默认 路 由 的 路 由 条 目 比 较 特 殊 ， 是 
0.0.0.0/0。 


大 家 给 PC 设置 IP 地 址 时 ， 应 该 也 会 顺便 设置 默认 网 关 吧 。 妆 PC 访问 
非 本 机 所 属 的 网 段 时 会 去 查看 本 机 中 的 路 由 表 让 ， 由 于 无 法 在 任何 条 
目 中 查 到 目的 IP 地 址 ， 束 会 将 数据 包 友 送 给 默认 网 关 。 


13 pC 和 服务 器 也 都 有 自己 的 路 由 表 。Windows 可 用 route print 命令 查看 路 由 表 ，Linux 则 是 用 


route 命令 查看 。 


如 果 目 的 网 段 相 同 ， 那 融 要 看 AD 值 的 比较 结果 了 ! 


AD (Administrative Distance， 管 理 距 离 ) 值 类 似 于 针对 每 个 路 由 协议 制 
定 的 优先 等 级 ， 值 越 小 优先 的 等 级 束 越 高 。 


通过 不 同 路 由 协议 或 静态 路 由 选择 学 到 的 完全 相同 的 路 径 ， 是 无 法 用 最 
长 匹配 原则 去 判断 和 选择 的 ， 遇 到 这 种 情况 时 我 们 就 要 用 到 AD 值 。 路 
由 器 会 比较 这 些 路 由 协议 的 AD 值 ， 从 中 选 出 AD 值 更 小 的 ， 也 惑 是 优 
先 等 级 更 高 的 路 径 并 将 其 写 入 路 由 表 ， 发 送 时 也 会 优先 采用 该 路 径 。 


做 内 条 用 EIGRP 
。 的 入 经 


中 写 入 AD 信和 于 小 的 
EIGHRR 





图 2.2.42 只 有 AD 值 更 小 的 路 径 才 会 被 写 入 路 由 表 


台 机 器 都 拥有 目 己 的 AD 值 。 思 科 机 器 的 AD 默认 值 如 下 表 所 示 ， 除 
直 志 协议 之 外 第 是 可 以 作 的 AD 值 还 可 用 于 防止 再 发 布 时 的 路 由 循 


环 和 浮动 静态 路 由 。 


| 这 是 一 种 路 由 备份 的 办 法 ， 只 有 当 无 法 通过 路 由 协议 学 习 路 径 信息 时 才 会 使 用 静态 路 由 。 
| 设置 时 提高 静态 路 由 的 AD 值 即 可 实现 六 方法 。 















































表 2.2.8 AD 值 越 小 ， 该 路 径 越 能 被 优先 选择 


Was 
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外 部 EIGRP 
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2.2.3 ”转换 IP 地 址 


转换 数据 包 IP 地 址 的 技术 叫 作 NAT (Network Address Translation， 网 
络 地 址 转换 ) 。 使 用 NAT 可 以 节省 IP 地 址 ， 使 拥有 同一 网 络 地 址 的 系 
统 之 间 互 通信 息 ， 解 决 隐藏 在 IP 环境 中 的 寿 干 问题 。 


2.2.3.1 转换 IP 地 址 


NAT 有 广义 和 狭义 之 分 。 广 闵 的 NAT 指 转 换 IP 地 址 的 整套 技术 ， 所 
指 范 围 太 广 ， 不 太 好 理解 。 这 里 ， 我 们 只 介绍 三 种 人 们 常用 的 NAT， 
它们 分 别 是 静态 NAT、NAPT (Network Address Port Translation， 网 络 
地 址 端口 转换 ) 和 Twice NAT (双重 NAT) 。 





双向 NAT 


| Two-Wway NAT | 
[ Bi-directional NAT ) 





图 2.2.43 广义 的 NAT 和 狭义 的 NAT 
静态 NAT 可 将 IP 地 址 一 对 一 关联 


静态 NAT 可 以 对 内 网 和 外 网 的 IP 地 址 进行 一 对 一 的 映射 和 转换 ， 又 称 
一 对 一 NAT。 狭 义 的 NAT 指 的 就 是 静态 NAT。 


由 内 网 访问 外 网 时 ， 静 态 NAT 会 转换 源 IP 地 址 ， 此 时 是 将 源 IP 地 址 
转换 成 相应 的 IP 地 址 。 相 反 ， 由 外 网 访问 内 网 时 ， 静 态 NAT 转换 目的 
IP 地 址 ， 此 时 是 将 目的 卫 地 址 转换 成 相应 的 卫 地 址 。 在 服务 器 端 我 们 
有 时 候 会 遇 到 这 样 的 情况 ， 某 客户 端 一 定 要 以 某 个 指定 的 IP 地 址 出 现 
在 互联 网 上 ， 或 者 某 台 服务 器 一 定 要 以 某 个 指定 的 IP 地 址 在 互联 网 上 
公开 ， 这 时 候 我 们 就 要 用 到 静态 NAT 了 。 
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图 2.2.44 一 对 一 地 关联 起 来 
NAPT 能 够 有 效 地 利用 IP 地 址 
NAPT 可 以 对 内 网 和 外 网 的 卫 地 址 进行 多 对 一 的 映射 和 转换 ， 又 称 IP 
伪装 或 PAT (Port Address Translation， 端 口 地 址 转换 ) ， 叫 法 不 同 ， 但 
意思 都 一 样 。 
由 内 网 访问 外 网 时 ，NAPT 会 将 源 IP 地 址 和 源 端口 号 一 起 转换 。 因 为 


是 根据 客户 端 和 站 口号 的 对 应 关系 “哪个 客户 端 使 用 哪个 端口 号 ) 来 分 
配 数 据 包 的 ， 所 以 能 实现 多 对 一 的 转换 。 


我 们 在 家 里 经 常 使 用 的 宽带 路 由 就 是 通过 NAPT 将 客户 端 和 互联 网 连接 
到 一 起 的 。 最 近 不 仅仅 是 PC， 连 智能 手机 、 平 板 计 算 机 和 家 电 产 品 等 
也 都 开始 拥有 自己 的 IP 地 址 了 。 如 果 要 为 这 些 设备 一 一 分 配 具有 全 球 
唯一 性 的 IP 地址 ， 地 址 资源 很 快 就 会 告 融 。 所 以 我 们 要 使 用 NAPT,， 
尽量 节省 全 球 IP 地 址 资源 。 





在 服务 器 器 ， 由 内 网 访问 外 网 的 通信 大 多 都 会 使 用 NAPT。 





图 2.2.45 通过 多 对 一 的 连接 形式 节省 IP 地 址 资源 
Twice NAT 使 地 址 范围 重复 的 网 段 之 间 得 以 通信 


静态 NAT 和 NAPT 只 是 转换 源 或 目的 地 址 中 的 其 中 一 方 而 已 ， 双 重 
NAT 则 是 将 源 和 目的 地 址 一 起 转换 。 当 我 们 需要 连接 某 个 网 段 ， 而 该 
网 段 的 地 址 范围 和 我 们 本 身 有 重复 情况 的 时 候 ， 例 如 公司 合并 或 是 己方 
公司 要 和 其 他 公司 系统 联网 时 ， 就 要 用 到 双重 NAT。 


这 里 ， 我 们 来 看 图 说 话 、 依 次 讲解 。 假 设 系统 A 中 有 一 台 服 务 器 A， 系 
统 B 中 有 一 台 服 务 器 C， 服 务 器 C 里 有 着 和 服务 器 A 相同 的 地 址 范 
围 ， 而 服务 器 A 想 要 访问 服务 器 C( 如 图 2.2.46) 。 


基 昌 的 他 得 沽 亿 





图 2.2.46 ”双重 NAT 使 地 址 范围 重复 的 网 段 之 间 得 以 通信 


1 ~ 服务 器 A (192.168.1.1) 要 访问 系统 A 路 由 器 中 所 设 的 IP 地 址 
(192.168.1.3) ， 该 地 址 用 于 NAT。 


2 -， 系统 A 的 路 由 器 将 源 卫 地 址 转换 为 1.1.1.1， 将 目的 卫 地 址 转换 
为 1.1.1.3， 然 后 将 信息 发 至 系统 B 的 路 由 器 。 


3 -系统 B 的 路 由 器 将 源 IP 地 址 转换 为 192.168.1.1， 将 目的 卫 地 址 
转换 为 192.168.1.3， 然 后 将 信息 发 至 服务 器 C。 


NAT 表 和 代理 ARP 是 支持 NAT 的 两 大 要 素 


上 面 介 绍 了 各 种 类 型 的 NAT。 支 持 NAT 的 两 大 要 素 是 NAT 表 和 代理 
ARP， 下 面 我 们 来 分 别 了 解 一 下 。 


我 们 先 来 看 NAT 表 。NAT 表 中 记录 着 转换 之 前 和 转换 之 后 的 IP 地 址 
或 端口 号 。 它 的 原理 十 分 简单 ， 收 到 需要 进行 转换 处 理 的 数据 包 后 将 数 
据 包 的 IP 地 址 或 端口 号 转换 一 下 ， 仅 此 而 已 。 如 果 是 NAPT， 那 么 
NAT 表 中 就 还 需要 记录 端口 号 信息 。NAT 表 中 记录 的 信息 会 发 生动 态 














变化 ， 因 此 ， 当 表 中 的 信息 不 再 使 用 并 到 达 一 定 的 时 限 之 后 ，NAPT 兢 
会 将 其 删 挥 。 


转换 之 前 和 转换 之 后 的 





图 2.2.47 NAT 表 管理 着 映射 信息 


接 下 来 我 们 来 看 代理 ARP。 用 于 NAT 的 IP 地 址 和 路 由 器 的 接口 PP 地 
址 是 不 一 样 的 ， 因 此 ， 对 于 前 者 发 出 的 ARP 请 求 ， 路 由 器 必须 作为 代 
理 给 出 回复 。 路 由 器 以 代理 身份 作出 回复 并 接收 前 者 发 来 的 IP 数据 
包 ， 然 后 根据 NAT 表 中 的 映射 信息 进行 转换 处 理 。 








| ee | 
Ly Wl 192.168.1.2 






1.1.1.0/24 192.168.1.0/24 


并 非 皇 全 的 吃 , 员 是 作为 代 
理 给 出 回复 而 
回复 之 后 接收 上 为 1.1.1.1 
的 数据 名 





图 2.2.48 ”用 于 NAT 的 IP 地址 发 来 ARP 请 求 时 ， 路 由 器 会 给 出 代理 
回复 


2.2.3.2” 私 网 IP 地 址 


可 供 分 配 的 IPv4 地 址 大 约 有 43 亿 个 〈232) 。 在 互联 网 初创 期 ， 人 们 
相信 有 这 么 多 的 话 肯定 足够 了 ， 然 而 随 着 互联 网 爆发 性 地 普及 和 发 展 ， 
地 址 数量 又 然 狂 减 ， 人 们 担心 这 样 下 去 的 话 不 久 地 址 就 会 告 再 ， 于 是 
NAPT 应 运 而 生 了 ， 它 能 够 更 加 有 效 地 利用 现 有 的 IP 地 址 ， 进 而 减 绥 
了 地 址 数量 的 剧 减 。 


使 用 NAPT 时 ， 不 管内 网 中 有 多 少 台 终端 机 ， 最 终 出 现在 互联 网 上 的 
IP 地 址 始终 只 有 一 个 ， 只 要 保证 这 一 个 IP 地 址 在 互联 网 上 是 独一无二 
的 就 可 以 了 。 这 个 IP 地 址 叫 作 全 球 IP 地 址 ， 由 ICANN 及 其 下 属 机 构 
负责 其 管理 和 分 配 。 


那么 ， 内 网 的 IP 地 址 应 如 何 分 配 呢 ? 是 不 是 随便 分 配 一 下 就 可 以 了 
呢 ? 回答 是 否定 的 。 如 果 内 网 的 终端 机 刚好 被 设置 成 了 全 球 IP 地 址 ， 
那么 ， 当 它 遇 到 早已 存在 于 互联 网 并 且 拥 有 真正 全 球 IP 地 址 的 服务 器 
时 ， 束 会 连接 不 上 。 为 了 避免 这 类 情况 ， 人 们 准备 了 一 些 专 供 内 网 分 配 
的 也 地 址 ， 这 些 IP 地址 叫 作 私 网 IP 地 址 。 私 网 IP 地 址 并 不 会 出 现在 
互联 网 上 ， 因 此 ， 即 使 A 公司 和 B 公司 的 私 网 IP 地 址 重复 了 也 没有 任 




















何 问 题 。 而 且 ， 私 网 IP 地 址 在 互联 网 上 是 并 不 存在 的 。 


私 网 IP 地 址 分 成 三 类 ， 如 下 表 所 示 。 我 们 应 根据 实际 的 网 络 规模 选择 
合适 的 地 址 范围 ， 进 行 合理 的 子 网 划分 。 


表 2.2.9 私 网 IP 地 址 共 分 三 类 





类 别 | 起 始 IP 地 址 结束 IP 地 址 子 网 掩 码 最 大 可 分 配 的 节点 数量 
0.0 


10.0.0.0 10.255.255.255 255.0.0.0 16 777 214 (=224 -2) 
172.16.0.0 172.31.255.255 255.240.0.0 |1 048 574 (=220 .2) 
192.168.0.0 192.168.255.255 |255.255.0.0 |65 534 (=216.2) 





图 2.2.49 ”对 内 网 分 配 私 网 IP 地 址 
2.2.4 自动 设置 IP 地 址 的 DHCP 


下 面 介 绍 几 个 和 网 络 层 相关 的 协议 ， 首 先 我 们 来 看 DHCP (Dynamic 
Host Configuration Protocol， 动 态 主机 配置 协议 ) 。DHCP 是 将 IP 地 址 
和 默认 网 关 等 网 络 设置 分 配给 节点 的 协议 。 访 协议 本 来 是 在 应 用 层 发 挥 
作用 的 ， 但 是 由 于 它 涉及 IP 地 址 的 设置 ， 所 以 本 书 将 它 作为 网 络 层 的 
技术 来 讲解 。DHCP 不 仅 能 使 IP 地 址 的 管理 更 加 轻松 ， 还 能 让 资源 已 
经 非常 紧缺 的 IP 地 址 发 挥 出 最 大 的 效用 。 


2.2.4.1 DHCP 的 消息 部 分 中 包含 着 诸多 的 信息 


DHCP 在 被 UDP 封装 的 DHCP 消息 部 分 中 放 入 了 大 量 的 设置 信息 。 这 
个 消息 部 分 的 内 容 稍微 有 些 复杂 ， 其 中 最 重要 的 有 三 个 因素 ， 分 别 
为 “分 配给 客户 端 的 IP”“DHCP 服务 器 IP”“ 选 项 ”。 


“分 配给 客户 端的 卫 ” 中 写 入 了 服务 器 问 分 配给 终端 的 、 有 竺 设置 的 IP 
地 址 ，“DHCP 服务 器 IP” 中 写 入 了 DHCP 服务 器 的 IP 地 址 ” ，“ 选 

项 ”中 写 入 了 消息 类 型 (Discover/Offer/Request/Ack) 、 子 网 掩 码 、 默 认 
网 关 、DNS 服务 器 的 IP 地 址 每 和 网 络 设置 相关 的 各 种 信息 。 














15 如 果 使 用 DHCP 中 继 代理 功能 ， 则 DHCP 服务 器 的 IP 地 址 为 0.0.0.0， 这 时 候 Relay Agent 
IP Address 部 分 中 将 写 入 DHCP 中 继 代理 组 件 的 卫 地 址 。 关 于 DHCP 中 继 代 理 将 在 2.2.4.3 节 
详细 说 明 。 





























图 2.2.50 DHCP 的 报 文 格式 


33.255 68 bootps DHCP 618 DHCP Request ~ Transaction ID Us ai 


| 1 ht AY LL 


9 Ethernet H, Src 3:29:38:00;00 (cc:03:29:38:00:00), Dr: BrcoadesctT 作 :年 : 征 :和 :生得 ) 
1 internet Protocol Version 4, Sre: 0.0.0.0 (0.0.0.0), bst: 255-255;255.255(255.355-255:255) 
9 User Dataaram Protocol. Src Port: bootoc {68}, Dst Port: bootns (67}) 


Message type: Boot Request (1) 

Hardware type: Ethemat 

Hardware sddress length: 6 

Hops: 0 

Transaction ID: 0x00246806 

Seconds eiapsed: 0 ,a | i 
入 Bootp flags; Dx8000 (Broadcast) 。 县 二 是 办 酝 的 |R 地 二 

Chient IP sddress: 0.0.0.0 (0.0.0.0) : 
: .Your {chent) IP address: 0.0.0.0 (0.0.0.0): _DHCP 识 务 器 的 

se 





ion: (t=53,|=}1) DHCP Message Type = DHCP Request 
; (t=57,|=2) Mamum DHCP Message Size = 1152 
: (t=51,1=27) Clhent dentifier 
in (t=54,1=4) DHCP Server 1dentifier = 192.168.3.1 
: (t=50,1=4) Requested IP Address = 192.168,1.2 
: (t=51,Il=4) I Address Lease Time = 1 day 
ion: (t=12,|=2) Host Name = "CL” 
ion: (t=55,|=8) Parameter ReQuest List : 
: (t=52,1=1) Option Overfoad = Boot file and server host names hold options > 


:Padding (128 bytes) 
; padding (64 bytes) 
;End Option : 
ROO OR : 





图 2.2.51 用 Wireshark 分 析 DHCP 报 文 的 画面 

2.2.4.2 DHCP 的 原理 非常 简单 

DHCP 的 原理 非常 简单 ， 很 好 理解 。 请 想象 一 下 这 个 场景 : 你 大 声 地 
(广播 ) 要 求 “ 请 分 一 个 IP 地 址 给 我 >， 于 是 DHCP 服务 器 回答 “这 个 给 
你 ”。DHCP 就 是 这 样 一 个 过 程 。 由 于 是 在 IP 地 址 尚未 设置 的 情况 下 通 
信 ， 所 以 这 里 DHCP 必须 通过 广播 来 交换 信息 。 


1 客户 端 发 出 一 个 叫 作 DHCP Discover 的 报 文 用 来 寻找 DHCP 服务 


峰 。 


2 _-， DHCP 服务 器 收 到 DHCP Discover 之 后 ， 返 回 一 个 叫 作 DHCP 
Offer 的 报 文 用 来 提议 分 配 哪个 卫 地 址 。 最 近 有 些 DHCP 服务 器 为 了 确 
认 提 议 的 卫 地 址 尚未 用 在 别处 ， 会 在 返回 Offer 之 前 发 出 ICMP 报 文 ， 
这 个 部 分 因 DHCP 服务 器 规格 不 同 而 有 所 差异 。 


3 ~” DHCP 客户 端 收 到 DHCP Offer 之 后 返回 一 个 叫 作 DHCP Request 
的 报 文 ， 请 求 服务 器 “给 我 这 个 IP 地 址 ?”。 如 果 是 从 多 台 DHCP 服务 器 
收 到 多 个 Offer， 就 会 针对 最 早 收 到 的 那个 返回 Request。 


4  DHCP 服务 器 收 到 DHCP Request 之 后 ， 返 回 一 个 叫 作 DHCP 
Ack 的 报 文 ， 将 该 卫 地 址 交 给 客户 端 。 


5 ~” DHCP 客户 端 收 到 DHCP Ack 之 后 ， 将 之 前 收 到 的 DHCP Offer 

中 提议 的 IP 地 址 设 成 自己 的 卫 地 址 ， 并 开始 通过 该 地 址 通信 。 收 到 的 
IP 地 址 中 设 有 租约 时 间 ， 一 旦 超过 租约 时 间 ， 客 户 端 就 会 发 出 一 个 叫 作 
DHCP Release 的 报 文 ， 解 除 该 IP 地 址 并 将 其 返还 给 DHCP 服务 器 。 
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图 2.2.52 DHCP 通过 广播 来 交换 信息 
2.2.4.3 对 DHCP 报 文 作 中 继 处 理 


DHCP 通过 广播 交换 信息 ， 因 此 ， 原 则 上 客户 端 和 服务 器 必须 在 同一 
VLAN 中 才 行 。 然 而 ， 在 拥有 大 量 VLAN 的 网 络 环境 中 为 每 个 VLAN 
都 安排 服务 器 是 不 太 可 能 的 ， 这 时 候 就 要 用 到 DHCP 中 继 代理 功能 。 
DHCP 中 继 代 理 功 能 可 以 将 通过 广播 收 到 的 DHCP 报 文 转换 为 单 播 的 形 
式 ， 广 播 变 成 单 播 之 后 ， 即 使 DHCP 服务 器 在 不 同 的 VLAN 中 也 能 够 
对 IP 地 址 进行 分 配 。 而 且 ，VLAN 再 多 也 可 以 只 通过 一 台 DHCP 服务 
器 去 分 配 IP 地 址 。 


我 们 应 在 DHCP 客户 端 所 在 的 第 一 跳 《〈 即 默认 网 关 的 路 由 器 ) 或 直 3 交 
换 机 那里 开启 DHCP 中 继 代理 功能 。 路 由 器 (L3 交换 机 ) 收 到 DHCP 
报 文 后 ， 会 将 源 卫 地 址 转换 为 本 机 的 IP 地 址 ， 将 目的 IP 地 址 转换 为 
DHCP 服务 器 的 IP 地 址 ， 进 行路 由 。 











TE Ip 
192.168.1.1 192.168.2.254 


192,168.2.254 255.255.265.255 182.1632254 
192.168.1,1 192.168.2254 


255.255.255.285 大 导 副 交 绽 你 了 | | ses 192.16382 254 


图 2.2.53 通过 DHCP 中 继 代 理 功 能 将 DHCP 报 文 发 送 到 其 他 VLAN 
中 去 


2.2.5 ”用 于 故障 排除 的 ICMP 


ICMP (Internet Control Message Protocol， 互 联网 控制 报 文 协 议 ) 是 用 
于 确认 网 络 层 通 信 状 况 的 协议 。 当 卫 方面 发 生 故 障 或 是 数据 包 未 能 
常 送 达 目 的 网 段 时 ，ICMP 会 将 这 些 情况 传达 给 信息 发 送 方 。 从 事 基 础 
架构 工作 的 读者 一 定 听 说 过 ping 这 个 词 吧 ，ping 指 的 就 是 为 发 送 ICMP 
报 文 使 用 的 一 种 网 络 诊断 程序 。 


2.2.5.1 ICMP 的 关键 在 于 类 型 和 代码 





ICMP 既 不 是 TCP 也 不 是 UDP， 只 代表 着 ICMP 本 身 。 它 是 在 IP 报头 
中 加 上 了 ICMP 数据 的 IP 数据 包 ， 格 式 并 不 复杂 ， 其 中 有 两 个 关键 的 
要 素 ,， 分 别 是 类 型 和 代码 。 类 型 表示 ICMP 报 文 的 类 型 ， 发 送 

ping 〈 请 求 ) 和 返回 ping (回复 ) 时 会 使 用 不 同 的 报 文 类 型 。 代 码 分 好 





几 种 类 型 ， 用 于 回 源 地 址 提供 更 为 详尽 的 信息 。 例 如 ， 当 返回 
Destination Unreachable 〈 类 型 3) 时， 就 是 通过 代码 告诉 源 地 址 为 什么 
数据 未 能 送 达 目的 网 段 。 


以 太 网 报头 IP 报头 ICMP 消息 
外 局 CE Ea 莓 


图 2.2.54 ”ICMP 的 报 文 格式 





山 3 2.795000 192.168.1.2 192.168,1.254 ICMP 114 Echo (ping) request d=0x0002, seq=0/0, 划 =255 


9 Frame 3: 114 bytes or Wire (912 bits), 114 bytes coptured (912.bits) 
1 Ethemet Hf, Sre; ce:03:29;38:00:00 (ce:03;29:38:00:00), Dst: cc:90;25:20:00;10 (cc:00:2a3:20:00:10} 
3 jnternet Protocol Version 4, Src; 192.168,1.2 {192.168,1,2), Dst: 192,168,1,254 (192.168,1.254) 
VersSion: 4 
Hesder length: 20 bytes 
由 Offerentiated Servicas Field: Ox00 (DSCP Ox00: Default; ECN; Ox00; Not-ECT (Not ECN-Capable Transport)) 
Total Length: 100 
Identification; Ox0008 (8) 
9 Fiags: Ox00 
Fragment offset: 0 


Time to lve: 255 gy 上 局 协议 步 iEME 
有 Header checksum: Dx3740 [correct] 


Source: 192.168,1.2 (192.168,1.2) 
Destination; 192.168.1.254 (192.168.1.254) 


Protocol - 
; Type: 8 ;一 疾 弄 为 ICMP 的 
报 文革 型 


SYS 
* Code:0 


Checksum: Ox4137 Taorect] oo 
Identifier (BE): 2 (0x0002j 通过 妍 论 介 代码 
tdentifier (LE); 512 (0x0200) 昨 渤 组 传达 生息 
sequence number (BE}: 0 (0x0000) 











图 2.2.55 ”用 Wireshark 分 析 ICMP 报 文 的 画面 
2.2.5.2 常见 的 类 型 和 代码 有 四 种 组 合 


类 型 和 代码 控制 着 ICMP， 通 过 这 两 者 的 组 合 ， 我 们 可 以 大 臻 了解 全 层 
面 发生 了 怎样 的 情况 。 二 者 的 组 合 种 类 繁多 ， 一 一 说 明 没 有 多 大 意义 ， 
本 书 仅 介绍 几 种 有 代表 性 的 组 合 ， 也 就 是 典型 的 几 种 通信 类 型 。 


通信 成 功 则 显示 “Reply from 目的 卫 地 址 ” 


我 们 来 看 看 IP 层面 上 通信 成 功 的 通信 类 型 。 首 先 ， 源 节点 向 目的 节点 
发 送 ICMP， 这 时 的 ICMP 类 型 为 Echo Request， 类 型 8/ 代码 0。 无 论 
在 什么 情况 下 ， 首 次 发 送信 息 的 ICMP 类 型 都 是 Echo Request， 如 果 通 
信 成 功 ， 则 目的 节点 返回 类 型 0/ 代码 0 的 Echo Reply。 收 到 Echo Reply 
后 ， 源 节点 上 会 显示 出 “Reply from (目的 IP 地 址 ) ”的 信息 。 


1.1.1.0/24 a 222.0124 





图 2.2.56 ”返回 Echo Reply 表示 通信 成 功 








没有 回复 则 显示 Request Timeout 


下 面 我 们 再 来 看 看 通信 失败 时 的 通信 类 型 。 首 先 ， 源 节点 向 目的 节点 发 
送 Echo Request， 这 时 的 ICMP 类 型 为 Echo Request。 假 如 这 个 Echo 
Request 未 能 送 达 目的 节点 会 怎样 呢 ? 答案 是 不 会 返回 Echo Reply， 而 
且 不 止 是 不 会 返回 Echo Reply， 而 是 什么 都 不 会 返回 。 等 超过 时 限 之 
后 ， 源 节点 会 在 终端 上 显示 出 Request Timeonut 的 信息 。 时 限 因 OS 而 
异 ，Windows 为 4 秒 ，Linux 则 根本 没有 时 限 的 设置 。 















2.2.2 0/24 


过 一 定 对 姐 之 身 


Request Timeout 








图 2.2.57 没有 回复 则 显示 Request Timeout 


查询 不 到 目的 地 址 则 显示 Destination Unreachable 


Destination Unreachable 是 类 型 为 3 的 ICMP 报 文 。 代 码 中 显示 的 值 表 示 
数据 未 能 送 达 的 原因 。 


Destination Unreachable 也 是 一 种 表示 通信 失败 的 通信 类 型 。 首 先 ， 源 节 
点 回 目 的 节点 发 送 Echo Request， 位 于 通信 途中 的 路 由 器 会 收 到 这 个 
Echo Request， 假 如 该 路 由 器 的 路 由 表 中 查询 不 到 通 往 目的 节点 的 路 

径 ， 那 么 数据 包 束 会 被 丢弃。 这 时 路 由 器 会 返回 一 个 Destination 
Unreachable (类 型 3) /Host Unreachable (代码 1) 的 ICMP 报 文 ， 表示 
查询 不 到 通 往 该 目的 卫 地 址 的 路 径 。 


类 型 3 的 代码 部 分 可 能 会 写 入 好 几 种 值 。 源 节点 查看 这 里 束 能 大 致 明白 
为 什么 数据 未 能 送 达 。 


博 由 表 


tnt | | 
mm | | 





222024 





1.1.10/24 






在 请 由 表 寻 冥 询 不 到 右 径 
所 从 路由 虹 会 将 数 扬 级 关 夺 





图 2.2.58 ”Destination Unreachable (类 型 3) 表示 路 径 不 存在 
Redirect 将 其 他 网 关 的 IP 地 址 告诉 节点 


Redirect 是 类 型 为 5 的 ICMP 报 文 。 如 果 在 特定 的 网 络 环境 中 ， 同 一 
VLAN 中 除了 默认 网 关 之 外 还 有 其 他 的 网 关 (出 口 ) ， 那 么 路 由 器 束 会 
通过 Redirect 将 该 网 关 的 IP 地 址 告诉 节点 。 


我 们 知道 ， 当 某 个 节点 和 另 一 个 位 于 其 他 VLAN 中 的 节点 通信 时 ， 会 
将 数据 包 临 时 性 地 发 送 给 默认 网 关 。 默 认 网 关 的 路 由 器 收 到 数据 包 后 会 
根据 路 由 表 选 择 路 径 ， 这 时 ， 如 果 同 一 VLAN 中 有 另 一 台 路 由 器 拥有 
更 合理 的 路 径 ， 就 会 发 出 一 个 Redirect( 类 型 5) /Redirect Datagram for 
the Network〔 代 码 0) 的 ICMP 报 文 ， 告 诉 节 点 该 网 关 的 存在 。 贡 点 收 
到 Redirect 报 文 后 会 在 路 由 表 中 添加 通 往 该 网 关 的 路 径 ， 下 次 束 将 数据 
包 直 接 发 往 它 的 IP 地 址 。 


Rt 的 小 由 家 
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图 2.2.59 Redirect (类 型 5) 将 最 合理 的 网 关 告 诉 节点 


通过 Redirect 可 对 同一 VLAN 中 的 路 由 信息 进行 一 元 化 管理 ， 非 常 方 
便 。 然 而 ， 并 非 所 有 设备 都 会 返回 Redirect， 有 些 防 火 墙 的 规格 是 不 文 
Redirect 的 。 因 此 ， 我 们 在 设计 路 由 之 前 一 定 要 了 解 相关 设备 的 
纲 格 才 行 。 


2.2.5.3 ”出 现 问题 时 先 尝 试用 ping 去 排除 故障 


排除 故障 有 好 几 种 方法 ， 需 要 紧急 应 对 时 ， 最 常见 的 是 先 尝试 用 ping 

去 排除 故障 。 首 先 我 们 应 通过 ping 确认 网 络 层 的 朴 通 情况 ， 确 认 没 有 

问题 之 后 再 依次 往 上 层 方 回 走 ， 解 决 传输 层 、 会 话 层 和 应 用 层 的 问题 。 

如 果 玻 通 情 况 不 佳 ， 束 应 该 依次 往 下 层 方 回 走 ， 解 决 网络 层 、 数 据 链 路 
层 和 物理 层 的 问题 。 





通过 应 用 理 施 确认 芒 道 情 次 
通过 talnat 确认 政通 情况 
确认 连接 表 
确认 党 列 导 


往 上 燃 方 向 依次 持 除 故 竺 


社 下 后 方向 依次 排 陈 故 辞 


谢 认 ARP 表 
确认 MAC 地 扯 胡 
确认 接口 状态 
确认 接口 的 报错 数 
确认 二 山 状 半 


图 2.2.60 ”排除 故障 时 人 们 往往 会 从 使 用 ping 开始 





| 
确认 兹 出 霄 
vi 确认 鸣 由 协议 的 状 访 
确认 NAT 表 


HH 


2.3 所 辑 设计 


前 面 我 们 学 习 了 数据 链 路 层 和 网 络 层 的 各 种 技术 和 规格 〈 协 议 ) 。 从 这 
一 节 开 始 ， 我 们 要 从 实用 性 的 角度 学 习 如 何在 服务 器 器 使 用 这 些 技术 ， 
以 及 在 设计 和 架构 服务 器 并 时 需要 注意 哪些 事项 。 


2.3.1 整理 出 所 需 的 VLAN 


首先 我 们 来 看 VLAN 设计 。VLAN 设计 是 指 对 VLAN 的 逻辑 结构 进行 
设计 ， 即 将 VLAN 配置 到 何 处 ， 有 具体 又 如 何 配置 。 有 条 不 率 且 注重 效 
率 的 VLAN 配置 对 今后 服务 器 端的 管理 性 和 可 扩展 性 起 着 极 大 的 作 
用 ， 因 此 ， 我 们 设计 的 时 候 一 定 要 着 眼 于 未 来 。 


2.3.1.1 ”实际 所 需 的 VLAN 会 因为 诸多 因素 而 变化 


VLAN 设计 的 第 一 步 是 整理 出 所 需 的 VLAN。 实 际 所 需 的 VLAN 取决 
于 人 们 使 用 的 设备 和 设备 功能 、 数 据 安全 、 运 行 管理 等 诸多 因素 ， 我 们 
应 从 不 同 的 角度 辨别 具体 情况 ， 人 整理 出 真正 需要 的 VLAN。 


首先 要 弄 清 所 需 的 设备 和 功能 


首先 ， 我 们 应 站 在 设备 和 功能 的 角度 去 考虑 VLAN。 下 面 我 们 从 最 简单 
的 结构 出 发 ， 先 来 看 看 上 层 (ISP 方面 ) 是 怎样 的 情况 (如 图 2.3.1) 。 


。ISP 和 LL3 交换 机 (CE 交换 机 ) 


与 互联 网 相连 的 L3 交换 机 和 路 由 器 是 根据 ISP 的 指定 去 分 配 
VLAN 的 。CE (Customer Edge， 客 户 边缘 ) 交换 机 因为 位 于 ISP 
和 客户 的 边界 而 得 名 ，CE (Customer Edge) 路 由 器 的 名 称 由 来 也 
是 一 样 。 最 近 好 像 还 出 现 了 租借 形式 的 ISP， 如 果 是 租借 ， 那 么 此 
处 的 VLAN 分 配 就 都 取决 于 ISP， 不 是 我 们 能 够 决定 的 了 。VLAN 
有 多 种 分 配方 式 ， 不 过 一 般 情况 下 人 们 都 会 在 L3 交换 机 外 侧 各 安 
排 一 个 ， 在 L3 交换 机 之 间 安 排 一 个 ， 在 内 侧 安排 一 个 〈 如 图 
2.3.1) 。 作 为 设计 和 架构 服务 器 端的 工程 师 ， 我 们 只 需 注意 其 中 一 
个 就 可 以 了 ， 那 就 是 内 侧 的 VLAN。L3 交换 机 内 侧 的 VLAN 用 于 
将 服务 器 端 连接 到 ISP 上 去 5。 























竹 二 sa9GP 壬 接 人 S9 


外 新 者} 外 裔 融 渴 过 eB8GP 等 接 ISP 











驴 究 坊 内 圳 有 有 RiP 二 人 
ge 分 配 | 黄 炙 堵 PALAN 态 灾 漕 通过 肪 炎 墙 记分 
+ 1 和 动态 入 】 | [和 宇 灿 次 疙 | VLAN 
Re | 
VP | [I 
从 到 泡 并 可 内 JI 
地 有 VIP A 





图 2.3.1 站 在 设备 和 功能 的 角度 整理 出 所 需 的 VLAN 
L3 交换 机 (CE 交换 机 ) 和 防火 墙 


防火 墙 外 侧 的 VLAN 是 用 来 连接 L3 交换 机 的 。 一 般 人 们 会 将 
VLAN 划分 为 防火 墙 外 侧 和 防火 墙 内 侧 两 个 部 分 。 当 然 ， 有 些 设计 
比较 特殊 ， 同 一 个 VLAN 不 划分 VYLAN) 也 可 以 运作 ， 笔 者 的 确 
亲 有 眼见 过 好 几 种 这 样 的 特殊 结构 。 然 而 ， 最 经 典 的 处 理 办 法 还 是 将 
VLAN 划分 为 内 侧 和 外 侧 两 个 部 分 。 此 外 ， 我 们 还 需要 拥有 全 球 IP 
地 址 ( 即 分 配 卫 地 址 ， 由 ISP 分 配 ) 的 VLAN。 分 配 卫 地址 的 构 
造 使 其 能 够 存在 于 防火 墙 内 部 ， 它 可 以 转换 为 负载 均衡 器 内 部 私 网 
的 IP 地址。 服务 器 端的 NAT 可 能 不 太 容 易 理解 ， 因 此 我 们 还 会 在 
2.3.4.2 节 中 详细 解说 。 如 果 我 们 对 防火 墙 作 了 元 余 配 置 ， 那 么 防火 
者 之 间 可 能 也 会 需要 VLAN， 通 过 该 VLAN 去 同步 机 器 的 设置 信 
息 和 状态 信息 。 是 否 需 要 VLAN 要 看 具体 使 用 的 设备 ， 例 如 ， 有 思 
科 公 司 的 ASA 系列 是 需要 VLAN 的 ， 瞻 博 公司 的 SSG 系列 则 不 需 
要 ， 我 们 在 设计 时 务必 要 仔细 确认 好 设备 规格 。 


防火 场 和 负载 均衡 器 


防火 墙 内 侧 的 VLAN 有 多 种 结构 ， 这 里 我 们 来 看 一 下 和 负载 均衡 
需 连 接 的 结构 。 我 们 可 以 认为 负载 均衡 器 的 VLAN 结构 和 防火 声 
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的 是 一 样 的 ， 人 们 一 般 也 是 将 它 划分 为 外 侧 和 内 侧 两 个 部 分 。 而 
且 ， 这 里 也 需要 一 个 能 将 分 配 卫 地 址 转换 为 私 网 IP 地 址 的 
VLAN， 该 VLAN 的 形式 使 其 能 够 存在 于 负载 均衡 器 内 部 ，VLAN 
中 会 建 起 一 个 用 于 分 散 负 蓓 的 虚拟 服务 器 。 虚 拟 服 务 器 的 IP 地 址 
叫 作 VIP 《Virtual IP 地 址 ， 虚 拟 IP 地 址 ) 。 如 果 我 们 对 负载 均衡 
器 作 了 元 余 配 置 ， 那 么 负载 均衡 器 之 间 可 能 也 会 需要 VLAN， 通 过 
该 VLAN 去 同步 机 器 的 设置 信息 和 状态 信息 。 我 们 应 根据 实际 需 
要 适当 追加 。 

负载 均衡 器 

最 后 我 们 来 看 一 下 负载 均衡 器 的 内 侧 ， 这 是 分 配给 服务 器 的 
VLAN。 需 要 划分 服务 器 的 VLAN 时 应 该 连接 L3 交换 机 ， 将 连接 


负载 均衡 器 的 VLAN 和 服务 器 VLAN 分 隔 开 。 而 不 需要 划分 时 则 
应 该 连接 L2 交换 机 。 




















这 里 举 的 是 比较 常见 的 VLAN 分 配 例子 。 一 般 来 说 ，ISP 除了 提供 服务 之 外 还 会 给 出 如 何 























架构 和 设置 的 实例 。 请 遵照 该 实例 进行 操作 。 
从 数据 安全 的 角度 整理 出 所 需 的 VLAN 


下 面 我 们 从 数据 安全 的 角度 来 看 VLAN 分 配 。 最 为 常见 的 结构 是 分 成 
Untrust 〈 非 信任 区 ) 、DMZ (DeMilitarized Zone， 隔 离 区 ) 和 

Trust《〈 信 任 区 ) 这 三 个 区 段 。 区 段 指 的 是 拥有 同样 数据 安全 等 级 的 
VLAN 的 群集 ， 人 们 通过 防火 墙 将 不 同 的 数据 安全 等 级 划分 开 来 (如 图 
pe 
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图 2.3.2 划分 数据 安全 区 段 
DMZ 区 段 的 安全 等 级 比 Trust 稍 低 ， 在 互联 网 上 公开 的 服务 大 应 配置 到 











DMZ 中 ， 这 样 ， 当 服务 器 遇 到 劫持 时 受害 程度 可 降 至 最 低 。 安 全 等 级 

由 低 到 高 依次 为 Untrust、DMZ 和 Trust。 有 些 人 有 着 根深 蒂 固 的 观念 ， 

认为 DMZ 只 能 有 一 个 ， 但 实际 上 并 没有 必要 拘泥 于 一 个 ， 我 们 完全 可 
以 建立 多 个 不 同安 全 等 级 〈 微 调 即 可 ) 的 DMZ。 整 理 好 需要 的 区 段 之 

后 ， 接 下 来 就 要 为 它们 分 配 VLAN 了 。 

虚拟 环境 中 需要 大 量 的 网 卡 和 VLAN 

如 今 ， 虚 拟 环 境 和 系统 之 间 早 已 是 密 不 可 分 的 关系 了 ， 而 离开 了 网 络 ， 

虚拟 环境 也 无 从 谈 起 。 由 网 络 作 后 盾 并 且 是 通过 网 络 实现 的 功能 非常 之 


多 ， 其 中 最 重要 的 一 项 就 是 实时 迁移 。 实 时 迁移 能 将 虚拟 机 的 内 存 信息 
迅速 地 迁移 到 男 外 一 台 物 理 服务 占 中 。 用 于 迁移 的 网 卡 和 VLAN 和 提 














供 服 务 的 网 卡 和 VLAN 最 好 分 开 ， 这 样 能 将 迁移 的 通信 流量 对 服务 产 
生 的 影响 控制 在 最 小 范围 之 内 。 


在 虚拟 环境 中 ， 分 属于 LAN 和 DMZ 等 不 同 VLAN 的 虚拟 机 共存 于 同 
一 台 物 理 服务 器 上 。 我 们 应 在 充分 考虑 通信 流量 类 型 和 管理 性 的 基础 
上 ， 去 配置 虚拟 交换 机 和 虚拟 机 。 我 们 也 可 以 用 一 台 虚 拟 交 换 机 去 连接 
所 有 VLAN 的 虚拟 机 ， 然 而 那样 的 话 ， 一 个 VLAN 的 突 发 流量 就 会 对 
所 有 VLAN 的 流量 都 产生 影响 。 而 且 ， 不 同 虚拟 交换 机 各 自 承 担 的 职 
能 以 及 它们 和 网 卡 之 间 的 映射 关系 也 容易 变 得 混乱 。 我 们 不 仅 要 将 流量 
的 影响 控制 在 最 小 范围 之 内 ， 还 应 按 不 同 的 职能 将 虚拟 交换 机 分 开 以 提 


高 管理 性 。 


虚拟 环境 让 我 们 能 够 轻松 地 添置 服务 占 ， 这 样 容易 造成 各 种 VLAN 的 
虚拟 机 蜂拥 而 上 的 局 面 ， 因 此 考虑 到 系统 今后 的 可 扩展 性 ， 我 们 应 该 对 
网 卡 和 VLAN 的 估算 数量 预 留 出 一 定 的 余地 。 
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图 2.3.3 ”实时 迁移 的 通信 流量 流入 后 端的 VLAN 
※ 因 版 面 关系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 


另 设 一 个 用 于 数据 备份 的 VLAN 


最 近 ， 经 网 络 转发 备份 数据 的 处 理 越 来 越 多 了 ， 这 种 处 理 一 般 是 在 夜间 
通过 批 处 理 功 能 进行 转发 的 ， 对 正常 时 间 段 的 服务 没有 太 大 影响 。 然 而 
就 其 本 质 来 说 ， 它 依然 是 在 短 时 之 内 转发 巨大 的 流量 ， 所 以 比较 明智 的 
人 
小 范围 之 内 。 


之 前 讲解 过 的 实时 迁移 和 备份 都 具有 相同 的 特点 ， 那 就 是 它们 都 会 在 短 
时 之 内 产生 巨大 的 通信 流量 并 进行 转发 。 对 此 我 们 应 另 设 一 套 专 门 应 对 
范围 之 内 。 
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备份 产生 的 通信 流量 
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图 2.3.4 备份 的 通信 流量 流入 后 端的 VLAN 


从 运行 管理 的 角度 整理 出 所 需 的 VLAN 


出 于 对 运行 管理 的 考虑 ， 网 络 的 规模 越 大 ， 我 们 就 越 应 该 另外 设计 一 个 
用 于 运行 管理 的 VLAN。 通 过 将 服务 和 运行 管理 完全 分 离 来 简化 管理 过 
程 ， 将 运行 流量 对 服务 流量 产生 的 影响 控制 在 最 小 范围 之 内 。 这 时 候 ， 
用 于 监控 设备 故障 和 工作 状态 的 Syslog、SNMP (Simple Network 
Management Protocol， 简 单 网 络 管理 协议 ) 和 NTP (Network Time 
Protocol， 网 络 时 间 协 议 ) 产生 的 通信 流量 将 会 经 过 男 设 的 VLAN 转发 
出 去 。Syslog、SNMP 和 NTP 将 分 别 在 5.1.3 节 、5.1.2 节 和 5.1.1 节 中 
详细 说 明 。 


最 近 ， 大 多 设备 既 配 有 通常 使 用 的 服务 端口 ， 也 配 有 另外 专用 的 管理 端 
口 ， 我 们 可 将 管理 端口 设 为 运行 管理 VLAN。 如 采 没 有 专用 的 管理 端 
口 ， 我 们 也 可 以 将 服务 端口 中 的 某 一 个 端口 设 为 运行 管理 VLAN， 将 其 
作为 管理 端口 使 用 。 


估算 VLAN 的 数量 时 应 留 有 余地 


分 配给 用 户 和 服务 器 的 VLAN 数量 是 会 变化 的 。 当 前 需要 五 个 

VLAN， 并 不 意味 着 今后 也 一 直 只 需要 五 个 。 我 们 应 为 今后 的 可 扩展 性 

考虑 ， 在 设计 阶段 轩 出 一定 的 富余 ， 将 数量 舍身 得 比 现状 需要 的 多 一 此 
行 。 


根据 VLAN 的 位 数 考虑 留 出 多 少 富余 是 个 比较 容易 汇总 的 办 法 。 假 设 
我 们 当前 需要 五 个 27 位 的 VLAN， 估 算 时 可 不 能 随 随便 便 ， 拍 一 下 脑 
袋 就 凭空 决定 暂时 多 报 一 个 而 得 出 共 需 要 六 个 的 结论 。 网 络 是 馆 辑 的 世 
界 ， 决 定 什么 事 的 时 候 一 定 要 有 充分 合理 的 逻辑 才 行 。 回 到 例 于 ， 经 过 
mt 留 三 个 是 合理 的 ， 最 后 能 够 汇总 到 24 位 ， 让 结构 得 


表 2.3.1 估算 VLAN 的 数量 时 应 留 有 余地 














十进制 写法 | :255.255.255.0 | 255.255.255.128 | 255;255.255,192 | 255.255.255:224 


斜 线 写法 /24 /27 
最 大 IP 数量 (=256:2 j 30 ( =32-2 j 


192.168.1.0 
192.168.1.32 册 户 VLAN 色 
192.168.1.0 


192.188.1.64 
分 配 网 自 192.168.1.0 
192.168.1.128 
192.168.1.128 
192.168.1.192 





2.3.1.2 ”规定 VLAN 的 ID 


人 们 是 通过 VLAN ID (数字 ) 来 识别 VLAN 的 。VLAN ID 在 交换 机 内 
部 设置 ， 负 责 将 不 同 的 VLAN 区 别 开 。 我 们 知道 ， 只 要 不 用 打 标 
VLAN，VLAN 束 仅 在 一 台 交 换 机 内 有 效 ， 因 此 ， 即 使 是 同一 VLAN 我 
们 也 可 以 基于 交换 机 为 它们 设置 不 同 的 VLAN ID， 并 且 能 够 保证 通信 
正常 。 如 下 图 所 示 ， 我 们 看 到 右边 的 交换 机 已 经 将 VLAN 设 成 了 
VLAN2， 于 是 决定 在 左边 的 交换 机 中 将 VLAN 设 成 YLAN1， 这 样 做 也 
不 是 不 行 的 。 然 而 ， 站 在 运行 管理 的 角度 去 看 ， 就 会 发 现 这 种 设置 会 带 
来 极 大 的 贱 烦 ， 那 就 是 我 们 还 得 花 点 时 间 在 脑子 里 给 它们 一 一 对 上 号 才 
行 ， 既 费力 又 耗 时 。 因 此 ， 对 于 同一 VLAN， 我 们 应 该 统一 设置 相同 的 
ID， 在 设计 阶段 就 将 VLAN ID 的 基本 规则 明确 下 来 。 





图 2.3.5 VLAN ID 不 统一 的 话 很 容易 混 消 


使 用 打 标 VLAN 时 ， 则 务必 要 保持 VLAN ID 一 致 ， 本 征 VLAN 也 是 如 
此 。 默 认 的 本 征 VLAN 是 VLAN1， 所 以 我 们 也 可 以 直接 使 用 它 。 不 

过 ， 使 用 默认 值 时 存在 数据 安全 风险 。 有 一 种 网 络 攻 击 叫 作 “VLAN 跳 
路 ”17 ， 是 利用 VLAN 的 标签 规格 进行 恶意 攻击 的 ， 如 果 使 用 默认 值 就 
会 成 为 被 攻击 的 对 象 。 所 以 我 们 最 好 不 要 使 用 默认 的 VLAN1， 而 是 对 
其 稍 作 修改 ， 这 样 才 更 加 安全 。 


| 此 种 攻击 会 发 送 一 个 打上 了 VLAN 标签 的 报 文 ， 跨 越 访问 控制 进行 DoS 攻击 。 








本 和 VLAN | 1 标 VLAN 对 
EC -= 





图 2.3.6 使 用 打 标 VLAN 时 要 保持 本 征 VLAN 一 致 


我 们 也 可 以 为 VLAN 命名 。 起 一 个 无 论 是 谁 都 能 看 明白 的 名 字 对 今后 
的 运行 管理 有 着 重大 的 意义 。 管 理 人 员 不 可 能 一 直 固 守 同一 岗位 ， 因 此 
我 们 应 制定 一 个 简单 易 行 的 命名 基本 规则 ， 确 保 其 他 人 员 接 手工 作 时 能 
够 很 快 理解 名 字 的 含义 。 


2.3.2 ”在 考虑 数量 增 减 的 基础 上 分 配 IP 地 址 
下 面 我 们 来 看 IP 地 址 设计 。IP 地 址 设计 指 的 是 给 配置 好 的 VLAN 分 配 


怎样 的 网 络 地 址 。 有 条 不 率 且 注重 效率 的 下 地 址 分 配对 今后 的 管理 性 
ee 因此 ， 我 们 设计 的 时 候 一 定 要 着 眼 于 未 























2.3.2.1 IP 地 址 的 估算 数量 应 高 于 当前 所 需 数量 


IP 地 址 设计 的 第 一 步 是 卉 清 所 需 IP 地 址 的 数量 。 实际 所 需 的 IP 地 址 取 
决 于 人 们 使 用 的 设备 和 设备 功能 、 服 务 器 数量 、 客 户 闻 数量 等 诸多 因 
i 整理 出 架构 环境 时 真正 需要 的 
IP o 


估算 时 应 留 有 余地 





如 果 是 在 IP 地 址 绝对 不 会 增加 或 减少 的 VLAN， 例 如 防火 墙 之 间或 负 
载 均衡 器 之 间 的 VLAN 等 ， 我 们 只 要 数 清楚 IP 地 址 的 数量 就 好 了 。 


然而 事实 并 没 那么 简单 ， 对 分 配给 用 户 和 服务 咒 的 卫 地址 我 们 必须 多 
估算 一 些 才 行 。 如 果 考 虑 得 过 于 简单 ， 比 如 单纯 地 认为 “需要 10 个 IP 
地 址 嘛 ， 那 我 用 28 位 去 分 配 残 好 了 ”， 那 么 今后 需要 更 多 IP 地 址 的 时 
候 ， 我 们 就 不 得 不 重新 分 配 VLAN， 非 常 麻烦 。 新 增 VLAN 相当 于 新 
设 路 由 器 ， 是 一 件 十 分 耗 时 费力 的 事情 ， 所 以 我 们 应 合理 预 佑 今后 人 P 














地 址 的 增加 情况 ， 尽 可 能 多 估算 一 些 数量 。 


光志 到 可 扩展 拍 , 到 们 
记 才 估 和 -间作 地 的 


分 配 如 剩 4 全 人 P 可 例 








图 2.3.7 估算 数量 应 高 于 当前 所 需 数量 
估算 时 不 要 未 了 用 于 特殊 用 途 的 瑟 地 址 


如 果 我 们 给 服务 右 和 网 络 设 备 作 了 元 余 配 置 ， 那 么 除了 物理 IP 地 址 之 

外 它们 一 般 还 需要 一 个 共享 IP 地 址 。 总 得 来 说 就 是 ， 在 考虑 IP 地 址 的 

数量 时 ， 不 要 瑟 记 我 们 需要 的 有 活动 机 的 卫 地址、 备用 机 的 IP 地 址 和 
二 者 共享 的 人 P 地 址 18 。 共 享 






































| 2 有 些 设备 没有 共享 P 地 址 ， 而 是 直接 使 用 活动 机 的 物理 他 地 址 ， 这 取决 于 我 们 选用 的 机 器 
| 规格 。 因 此 在 设计 时 请 一 定 要 好 好 确认 这 点 。 
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图 2.3.8” 作 元 余 配 置 时 所 需 的 IP 地 址 会 增加 
VLAN 是 要 做 大 还 是 做 小 
网 络 是 要 做 大 还 是 做 小 ， 这 对 运行 管理 有 着 重大 的 影响 。 


以 往 人 们 一 直 推 尝 按 IP 地 址 所 需 个 数 将 网 络 尽 量 做 小 的 思路 ， 然 而 ， 
现在 这 样 做 已 经 未 必 是 最 好 的 选择 了 。 实 际 上 ， 将 配置 在 LAN 内 的 用 
户 VLAN 用 21 位 分 隔 开 ， 在 1 个 VLAN 中 圳 括 数 千 台 终 端的 事例 也 不 
是 没有 。 当 然 ， 那 样 的 话 同一 VLAN 中 的 终端 都 会 收 到 本 身 并 不 需要 
的 广播 ， 不 过 最 近 的 OS 已 经 不 像 过 去 那样 频繁 地 使 用 广播 了 ， 接 口 的 
速度 也 比 以 前 快 了 很 多 ， 所 以 网 络 即 使 做 得 很 大 也 完全 可 以 顺畅 地 运 
行 。 网 络 越 大 VLAN 就 越 少 ， 设 置 和 运行 管理 也 束 越 轻松 。 


将 网 络 做 大 时 有 一 点 必须 注意 ， 那 就 是 桥接 坏 路 。 网 络 越 大 ， 死 循环 的 
影响 范围 束 越 大 ， 一 旦 友 生 桥接 环 路 ， 那 么 所 有 隶属 于 该 VLAN 的 终 
端 就 会 无 法 通信 。 不 仅 如 此 ， 有 些 路 由 点 上 的 所 有 终端 也 可 能 会 无 法 通 








信 。 因 此 ， 我 们 在 设计 时 ， 务 必要 用 STP 〈Spanning Tree Protocol， 生 
i 
说 明 。 


小 VLAN 的 分 配 和 大 VLAN 的 分 配 
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图 2.3.9 VLAN 是 要 做 大 还 是 做 小 


关于 网 络 的 设计 笔者 还 要 提 一 点 ， 那 就 是 无 论 需 要 多 少 个 人 P 地 址 都 
用 %/24” 去 统一 分 阳 的 手法 。 用 24 位 去 划分 比较 容易 理解 ， 也 便于 管 
理 。 网 络 要 做 到 多 大 取决 于 客户 的 需求 ， 我 们 应 看 准 和 认 清 需求 之 后 再 
去 考虑 网 络 的 具体 设计 。 


2.3.2.2” 按 顺序 排列 网 段 ， 使 之 更 容易 汇总 


注重 效率 的 子 网 划分 对 路 由 汇总 起 着 民 好 的 作用 ， 有 利于 简化 路 径 。 我 
们 在 设计 的 时 候 应 按 一 定 的 顺序 排列 网 段 ， 使 它们 更 加 容易 汇总 、 更 加 
简约 明朗。 预先 定义 好 在 哪里 汇总 、 用 多 少 位 去 汇总 ， 也 有 助 于 提高 系 
统 今后 的 可 扩展 性 。 
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图 2.3.10 ”将 网 段 按 顺序 排列 


笔者 一 般 会 将 网 段 整 理 成 一 张 表格 (如 表 2.3.2) 以 便 随 时 查询 。 整 理 

出 一 张 这 样 的 表格 后 ， 网 段 的 汇总 和 管理 都 会 更 加 轻松 。 下 面 这 张 表 是 
对 网 段 分 配 的 整理 结果 ， 在 将 网 段 分 配给 服务 器 的 过 程 中 ， 最 终 要 达到 
能 够 用 24 位 对 网 段 进 行 划 分 和 汇总 的 结果 。 做 这 种 IP 地 址 设计 就 像 玩 
俄罗斯 方块 一 样 ， 充 满 了 乐趣 。 


表 2.3.2 ”将 网 段 整理 成 表 





=128-2) | {=64-2) 


|10.1.0.128 
pom ht or 留待 日 后 扩展 
10.1.0,128 - 
明科 日 若 防 局 
10T0182 
10.10224 生 符 日 后 扩 霸 


留待 VIP 日 后 扩展 


FVV. 


10.1,0.96 


二 
S © 
志 2 
5 © 
一 Cn 
3 了 
wm 


10.1.4.32 
10.1.4.64 
10.1.4.96 
10.1.4.128 
10.1.4.160 
101.4.192 
10.1.4224 


10;1.4.128 


10,1.4.64 
10.1,.4,128 
10,1,4.192 





10.1.7.240 
10,1,7.248 
10 


2.3.2.3 ”必须 统一 规定 从 何 处 开始 分 配 IP 地 址 


网 段 分 好 之 后 ， 接 下 来 我 们 应 该 在 其 中 的 何 处 开始 分 配 IP 地 址 ， 具 体 
又 该 如 何 分 配 呢 ? 对 于 这 些 问 题 也 都 做 出 统一 规定 的 话 ， 理 解 起 来 就 会 


易如反掌 。 例 如 ， 我 们 可 以 做 出 这 样 的 分 配 规 定 : 服务 器 和 用 户 终 端的 
IP 地 址 从 数字 最 小 的 编写 用 起 ， 网 络 设备 的 IP 地 址 则 从 数字 最 大 的 编 
号 用 起 。 这 样 ， 卫 地 址 的 分 配 和 使 用 就 有 了 统一 性 ， 后 面 的 管理 也 整 方 
便 多 了 。 此 外 ， 我 们 在 设计 类 似 的 结构 时 也 可 以 照 靖 户 画 殊 地 末 用 同样 
的 基本 规则 ， 那样 也 会 轻松 很 多 。 只 要 没有 现成 的 基本 规则 ， 对 于 类 似 
人 笔者 总 是 会 制定 一 模 - 样 的 基本 规则 以 提 高 作业 效率 、 减 少 作 
业 失 误 














: Web 服务 器 名 : 
: ; [服务 器 的 IP 地 址 从 数字 
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网 络 设备 的 IP 地 址 从 数字 
最 大 的 编号 开始 分 配 
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图 2.3.11 统一 分 配 IP 地 址 的 基本 规则 

2.3.3 ”路 由 选择 以 简 为 上 

下 面 ， 我 们 来 看 路 由 设计 。 路 由 设计 是 指 设 计 在 什么 地 方 以 及 如 何 对 分 
配 好 的 网 络 地 址 进行 路 由 选择 。 在 哪里 、 如 何 进行 路 由 选择 对 今后 的 管 
理性 和 可 扩展 性 起 着 极 大 的 作用 ， 因 此 我 们 设计 的 时 候 一 定 要 着 眼 于 未 
Rs 

2.3.3.1 考虑 在 路 由 选择 中 使 用 哪些 协议 





首先 ， 我 们 要 确定 在 路 由 选择 中 使 用 哪些 协议 。 以 往 ， 人 们 将 Apple 
Talk、SNA (Systems Network Architecture， 系 统 网 络 架 构 ) 、 

FNA (Fujitsu Network Architecture， 军 士 通 网 络 架构 ) 和 IPX 等 多 种 协 
议 混 合 在 一 起 使 用 ， 每 一 个 协议 都 得 进行 路 由 选择 。 不 过 ， 现 在 大 多 数 
环境 都 只 有 IP， 和 以 往 相 比 简单 了 不 少 。 大 多 数 情况 下 ， 人 们 仪 将 IP 
数据 包 视 为 路 由 选择 的 对 象 。 


2.3.3.2 ”考虑 采用 哪 种 路 由 选择 方法 


然后 ， 我 们 应 该 确定 采用 哪 种 路 由 选择 方法 。 路 由 选择 有 两 种 方法 ， 分 
别 是 静态 路 由 选择 和 动态 路 由 选择 。 


用 于 互联 网 的 通信 采用 默认 路 由 


当 我 们 的 通信 对 象 在 互联 网 上 时 ， 其 IP 地 址 是 不 特定 的 。 因 此 ， 对 于 
在 网 络 中 扮演 着 通 往 互联 网 的 出 口 这 一 角色 的 设备 ， 比 如 防火 墙 和 负载 
均衡 器 等 ， 我 们 应 将 它们 的 IP 地 址 设 为 默认 网 天 。 如 果 我 们 对 这 些 设 
备 作 了 元 余 配置 ， 那 么 其 共享 IP 地 址 就 是 默认 网 关 。 
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由 于 通信 对 二 县 互联 网 
, 止 的 不 眉 定 人， 应 入 其 
套 务 导 的 路 由 表 设 为 点 认 阿 其。 
| 


图 2.3.12 默认 网 关 为 共享 I 地 址 


※ 实际 上 Connected 〈 直 连 的 ) 网 段 也 会 写 入 路 由 表 。 这 里 为 了 方便 大 家 理解 ， 仅 画 出 了 设置 
的 路 径 信息 。 


如 果 公 开 服 务 器 的 后 端 有 配置 了 DB 服务 右 和 AP 服务 器 的 VLAN， 我 
们 就 要 对 公开 服务 器 设置 能 够 抵达 该 WLAN 的 静态 路 由 。 偶 尔 可 能 会 

出 现 后 端 也 设置 了 默认 网 关 ， 结 果 导 致 一 个 服务 器 拥有 好 几 个 默认 网 天 
的 情况 ， 但 这 是 错误 的 做 法 ， 服 务 右 的 默认 网 关 只 能 有 一 个 。 如 有 果 通 往 
0 J 的 路 径 有 别 的 下 一 跳 ， 我 们 也 应 设置 能 够 抵达 该 VLAN 的 
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Web 服务 器 后 湛 
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DB 缮 务 器 
10,1.3;0/24 


DB 服务 雌 的 路 由 表 


| 信和 庙 | 3 | 下 二 | 
0.0.00 0.0.00 10.1.3.254 





图 2.3.13 默认 网 关 只 能 有 一 个 
和 ISP 的 连接 点 上 运行 着 ISP 


ISP 上 运行 着 BGP。 位 于 系统 最 上 层 的 L3 交换 机 在 ISP 和 eBGP 对 等 
体 之 间 以 及 L3 交换 机 之 间 安 排 iBGP 对 等 体 ， 以 此 来 确保 从 互联 网 通 
向 服务 器 端的 路 径 9。 而 且 ， 这 个 时 候 会 通过 BGP 属性 控制 使 用 的 线 
路 。 通 向 互联 网 的 路 径 是 将 ISP 的 CE (Customer Edge， 客 户 边 缘 设 
备 ) 交换 机 作为 下 一 跳 的 默认 路 由 ?20 。 


19 实际 上 是 通过 将 静态 路 由 和 IGP 再 发 布 给 BGP， 或 是 仅 将 特定 的 路 径 写 入 BGP 表 来 确保 路 


径 。 











20 不 同 的 ISP 和 服务 会 有 不 同 的 上 层 BGP 结构 。 本 书 中 讲解 的 BGP 结构 均 以 单一 ISP 双 线 接 
入 【元 余 配 置 ) 为 前 提 。 
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图 2.3.14 ISP 是 通过 BGP 接 入 的 

※ FW-FW 之 间 的 VLAN 因 和 ISP 接 入 无 关 ， 所 以 图 中 省 略 未 画 。 

统一 路 由 协议 

在 LAN 内 运行 路 由 协议 时 ， 将 各 种 路 由 协议 统一 成 一 个 比较 合理 。 当 
然 ， 我 们 也 可 以 通过 再 发 布 让 几 个 不 同 的 路 由 协议 同时 运行 ， 事实 上 也 
的 确 存在 非 这 样 处 理 不 可 的 情况 。 但 是 ， 考 虑 到 今后 的 运行 管理 ， 还 是 
将 它们 迁移 到 一 个 路 由 协议 上 的 做 法 更 加 合适 。 

路 由 选择 方式 分 核心 路 由 选择 和 边缘 路 由 选择 两 种 


路 由 选择 方式 也 是 设计 LAN 内 路 由 选择 的 一 个 关键 。 将 路 由 选择 点 
(让 数据 包 选 择 路 径 的 点 ) 落实 到 网 络 结构 的 哪个 阶层 ， 决 定 了 路 由 选 





择 方 式 是 核心 路 由 选择 还 是 边缘 路 由 选择 。 


核心 路 由 选择 是 由 位 于 网 络 中 心 的 核心 交换 机 为 所 有 路 由 数据 包 选 择 路 
径 的 方式 ， 这 种 方式 下 要 给 核心 交换 机 配置 L3 交换 机 、 给 边缘 交换 机 
配置 L2 交换 机 。 路 由 选择 点 因为 只 有 核心 交换 机 这 一 处 ， 所 以 该 方式 
操作 方便 ， 故 障 也 容易 排除 。 不 过 ， 如 果 一 个 VLAN 内 发 生 了 桥接 环 
路 ， 影 响 就 会 波及 整个 VLAN， 所 以 我 们 务必 认真 对 待 STP 设计 。 此 
外 ， 由 于 所 有 的 路 由 数据 包 都 会 经 过 核心 交换 机 ， 我 们 还 要 注意 核心 交 
换 机 的 处 理 负 荷 问题 。 


防火 洁 防火 二 
[ 话 动 准 硒 } | | 大 抽 状 志 } 





ki 
ei 4 外 把 信 确 





Pop TEE tet tt tT tet ttt 
- * 鳍 由 渴 择 者 
: 交心 13 次 域 4 | 交心 3 交 护 和 
1 运动 状 厅 } ( 黎 机 菊 忘 
核心 突 埃 机 其 从 em \ : 
Tp i ; 
; [2 着 疑 环 的 农 响 坚 国 : 
Vediion eds 全 到 人 .2 - 坚 人 对 ] 
兰 个 区 泊 ind | STP ti 





图 2.3.15 ”核心 路 由 选择 方式 仅 靠 核心 交换 机 来 选择 路 径 


边缘 路 由 选择 是 由 位 于 网 络 边缘 的 边缘 交换 机 选择 路 径 的 方式 ， 这 种 方 
式 下 要 给 核心 交换 机 和 边缘 交换 机 部 配置 L3 交换 机 。 核 心 交 换 机 和 边 
缘 交 换 机 之 间 通 过 路 由 协议 同步 LAN 内 路 径 ， 因 此 边缘 交换 机 也 能 够 
进行 路 由 选择 。 同 属 一 全 边缘 交换 机 的 VLAN 之 间 的 路 由 数据 包 只 需 

经 该 边缘 交换 机 处 理 即 可 ， 因 此 负 答 得 以 分 散 ， 而 且 即 使 发 生 桥接 环 

路 ， 其 影响 也 不 至 于 扩散 到 整个 范围 。 不 过 这 种 方式 也 有 缺 把 ， 比 如 路 
由 选择 点 较 多 、 构 造 稍 嫌 复杂 、 运 行 管 理 也 会 更 难 一 些 。 
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图 2.3.16 ”在 边缘 路 由 选择 方式 中 ， 边 缘 交 换 机 也 能 够 选择 路 径 


过 去 人 们 比较 倾 癌 于 将 VLAN 尽量 做 小 且 采 用 边缘 路 由 选择 的 方式 ， 

然而 现在 主流 已 经 变 成 了 将 VLAN 尽量 做 大 且 采 用 核心 路 由 选择 的 方 
式 ， 这 是 因为 后 者 能 将 运行 管理 方面 的 优势 最 大 化 。 两 种 路 由 选择 方式 
都 有 各 目的 优点 和 缺点 ， 选 择 哪 一 种 取决 于 客户 的 需求 。 我 们 应 认 清 需 


求 之 后 再 开始 设计 。 
表 2.3.3 ”核心 路 由 选择 和 边缘 路 由 选择 都 有 各 目的 优点 和 缺点 


核心 路 由 选择 边缘 路 由 选择 
核心 交换 机 核心 交换 机 ~~ 边缘 交换 机 





核心 交换 机 边缘 交换 机 





























逻辑 结构 简单 稍 嫌 复 杂 


路 由 数据 包 的 处 理 负 蓓 ”| 全 部 集中 在 核心 交换 机 上 | 也 会 分 散 到 边缘 交换 机 上 



























































让 路 由 堪 和 世 3 交换 机 处 理 路 由 协议 


防火 墙 、 负 载 均衡 左 和 服务 器 也 是 可 以 局 动 路 由 协议 的 ， 不 过 笔者 并 不 
推荐 这 样 做 。 我 们 偶尔 会 遇 到 态度 强硬 的 管理 人 员 翻 出 不 知 是 从 哪里 找 
来 的 使 用 手册 ， 说 既然 有 这 项 功能 那 就 要 用 用 看 ， 这 种 想法 是 不 对 
的 。“ 有 这 项 功能 "和 “用 这 项 功能 ”是 完全 不 同 的 两 码 事 ， 尤 其 在 路 由 协 
议 方面 ， 我 们 还 是 交 给 专用 设备 去 处 理 比 较 合 适 。 因 为 即使 通过 防火 
墙 、 负 载 均衡 器 或 服务 器 局 动 了 路 由 协议 ， 我 们 并 不 能 保证 路 由 协议 今 
Te 
器 去 处 理 吧 。 


2.3.3.3 ”将 路 径 汇 总 以 减少 路 径 数 量 

我 们 应 该 确定 在 什么 地 方 、 将 多 少 条 路 径 汇 总 起 来 。 任 赁 路 径 发 展 的 
话 ， 其 数量 只 会 有 增 无 减 ， 也 会 越 来 越 乱 ， 还 有 可 能 引发 设置 失误 。 所 
以 我 们 要 按 顺 序 分 配 网 络 地 址 ， 合 理 高 效 地 汇总 路 径 。 


图 2.3.18 所 示 的 是 一 个 利用 防火 墙 将 /27 汇总 到 /24 中， 减少 路 径 数 量 
的 示例 。 
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图 2.3.17 要 使 用 路 由 协议 就 应 该 准备 工 3 交换 机 和 路 由 器 
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图 2.3.18 ”通过 汇总 来 简化 路 径 
2.3.4 NAT 要 按 入 站 和 出 站 分 别 考 虑 


不 了 解 NAT 的 人 会 觉得 它 很 复杂 ， 不 知 不 觉 束 对 它 敬 而 远 之 。 然 而 ， 
当 我 们 规定 好 在 哪里 转换 地 址 之 后 ， 再 去 考虑 起 点 和 终点 应 该 分 别 安排 
在 何 处 ， 又 应 该 如 何 进行 地 址 转换 的 话 ， 事 情 束 没 那 么 复杂 了。 本 书 将 
按 入 站 (由 互联 网 通 加 服务 器 问 的 通信 ) 和 出 站 《由 服务 器 问 通 回 互 联 
网 的 通信 ) 来 讲解 NAT?*! 。 
































‖ 21 其实 负 载 均衡 也 是 一 种 利用 了 地 址 转换 的 技术 ， 只 是 放 在 这 里 一 起 介绍 容易 混淆 ， 所 以 将 
| 其 放 在 第 3 章 中 详细 说 明 。 
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2.3.4.1 NAT 是 在 系统 边界 进行 的 


和 路 由 选择 一 样 ，NAT 的 设计 也 是 以 简 为 上 的 。 如 果 在 一 个 系统 的 很 
多 地 方 都 进行 了 地 址 转换 ， 我 们 就 会 渐渐 地 理 不 出 头绪 来 ， 所 以 最 好 还 
征 尽量 避免 重复 的 地 址 转换 ， 采 用 单纯 明 妆 的 设计 。 


NAT 是 在 系统 的 边界 进行 的 。 对 服务 器 端 来 说 ， 它 和 互联 网 的 边界 是 
防火 场 ， 因 此 NAT 多 在 防火 增 中 进行 ， 即 在 防火 墙 中 将 全 球 IP 地 址 转 
换 为 私 网 卫 地 址 。 


志明 只 培 中 措 全 球 
仿 她 址 转换 为 型 网 
名 地址 





图 2.3.19 NAT 多 在 防火 墙 中 进行 
2.3.4.2 ”通过 入 站 通信 转换 地 址 


入 站 《由 外 部 进入 内 部 的 ) 通信 和 是 针对 公开 服务 器 的 通信 ， 需 要 转换 目 
的 耳 地址 。 其 原理 是 ， 先 找 出 需要 在 互联 网 上 公开 的 服务 器 ， 然 后 对 
该 服务 器 的 卫 地 址 进行 转换 。 


服务 器 端的 NAT 比较 特殊 ， 不 太 容易 弄 惟 ， 下 面 我 们 来 整理 一 下 。 


ISP 和 全 球 IP 地 址 签约 之 后 会 提供 两 个 全 球 IP 地 址 范围 ， 一 个 用 于 连 

接 ， 另 一 个 则 用 于 分 配 2 。 用 于 连接 的 IP 地 址 范围 是 指 用 于 连接 ISP 

的 多 个 VLAN， 在 防火 墙 的 Untrust 区 段 中 设置 ， 用 于 分 配 的 IP 地 址 空 
间 则 是 指 用 于 公开 服务 器 和 出 站 NAPT 的 IP 地址 的 VLAN， 仪 存在 于 

防火 墙 内 部 。ISP 将 分 配 IP 地 址 范围 的 下 一 跳 设 为 防火 墙 的 连接 IP 地 

址 2 ， 这 样 ， 发 送 给 分 配 IP 地 址 范围 的 数据 包 就 会 进入 防火 墙 而 不 是 

代理 ARP， 防 火 墙 在 NAT 表 中 查询 到 该 数据 包 的 目的 IP 地 址 后 将 其 转 
换 为 私 网 IP 地 址 ， 然 后 将 数据 包 发 送 给 公开 服务 器 。 


2 有 些 ISP 将 用 0 IP 地 址 范围 叫 作 < 区间 IP 地 址 范围 >， 将 用 于 分 配 的 卫 地 址 范围 叫 
作 “ 范 围 卫 地 址 














| 23 如 果 我 们 做 了 宛 余 配 置 ， 则 应 将 下 一 跳 设 为 共享 P 地 址 。 
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图 2.3.20 ”入 站 通信 的 NAT 为 一 对 一 的 形式 


2.3.4.3 ”通过 出 站 通信 转换 地 址 


出 站 《由 内 部 去 往外 部 的 ) 通信 和 是 针对 互联 网 的 通信 ， 需 要 转换 源 IP 
地 址 。 针 对 互联 网 的 通信 大 多 是 通过 NAPT 将 多 个 私 网 IP 地 址 转换 为 
一 个 全 球 卫 地 址 。 其 原理 是 ， 先 找 出 应 从 哪个 VLAN 将 信息 发 到 互联 
网 上 ， 然 后 将 该 网 络 地 址 作为 源 IP 地 址 进行 转换 。 


将 NAT 定义 为 一 对 一 形式 的 公开 服务 咒 ， 其 出 站 通信 的 定义 步骤 和 入 
展 通信 的 刚好 相反 。 
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图 2.3.21 出 站 通信 通过 NAPT 进行 地 址 转换 


第 3 章 数据 安全 设计 和 负载 均衡 
设计 
本 章 概 要 


本 章 将 要 说 明 服 务 器 端 从 传输 层 到 应 用 层 的 撤 术 以 及 使 用 这 些 技术 
时 的 设计 要 点 。 


几乎 所 有 我 们 使 用 或 开发 的 应 用 程序 都 能 够 在 网 络 中 “流通 ”运行 ， 
因此 信息 流量 也 在 持续 地 迅猛 增加 。 对 于 这 些 激增 的 信息 流量 ， 服 
务 需 能 够 提供 多 大 程度 的 安全 保障 ， 义 能 够 完成 多 大 数量 的 处 理 ， 
这 两 点 可 以 说 是 服务 器 端的 关键 所 在 。 只 有 扎实 地 掌握 技术 规范 ， 
并 且 设 计 出 最 佳 的 信息 安全 环境 和 负载 均衡 环境 ， 我 们 才能 灵活 应 
对 越 来 越 多 的 信息 流量 和 日 益 复杂 的 应 用 程序 要 求 。 




















3.1 传输 层 的 技术 


传输 层 用 于 高 效 地 传输 应 用 数据 。 网 络 层 只 负责 将 应 用 层 的 数据 传输 到 
目的 节点 ， 并 不 了 解 传输 的 是 怎样 的 应 用 数据 ， 也 不 关心 该 应 用 数据 有 
者 怎样 的 通信 控制 要 求 ， 而 传输 层 恰恰 能 够 填补 网 络 层 的 这 些 缺 上 后。 它 
是 网 络 层 和 应 用 层 之 间 的 桥 染 ， 能 够 确保 通信 的 灵活 性 。 


3.1.1 通过 端口 号 划分 服务 器 进程 


传输 层 是 根据 应 用 程序 控制 通信 的 层 ， 网 络 层 则 是 确保 不 相 邻 的 节 氮 
〈 不 在 同一 个 网 段 中 的 节点 ) 也 能 够 相互 连接 的 层 。 传 输 层 除 了 能 确保 
这 种 连接 性 以 外 ， 还 能 够 添加 传输 报头 ， 达 到 按 应 用 程序 要 求 控制 通信 
的 目的 。 在 传输 层 执行 的 报头 处 理 叫 作 分 段 ， 被 分 段 的 数据 叫 作 报 文 
段 。 传 输 层 上 定义 了 各 种 不 同 的 分 段 方式 。 


传输 层 是 OSI 参考 模型 中 目下 同上 数 的 第 四 层 。 如 果 是 发 送 数据 ， 首 先 
要 接收 来 自 会 话 层 的 应 用 数据 ， 然 后 将 其 分 段 并 交 给 网 络 层 ， 如 果 是 接 
收 数据 ， 首 先 要 接收 来 自 网 络 层 的 数据 包 ， 执 行 一 个 和 分 段 恰好 相反 的 
处 理 后 再 交 给 会 话 层 。 下 面 束 详细 解说 一 下 这 两 种 处 理 。 


我 们 先 来 看 发 送 数据 。 来 自 会 话 层 的 应 用 数据 中 仅 包含 用 户 输入 的 信息 
和 输出 输入 画面 的 信息 ， 并 没有 应 用 程序 的 相关 信息 。 这 样 是 无 法 知道 
该 应 用 程序 需要 怎样 的 通信 控制 以 及 使 用 了 哪 项 服务 的 。 因 此 ， 为 了 解 
决 这 个 问题 ， 人 们 在 传输 层 为 数据 添加 传输 报头 信息 并 进行 分 段 ， 然 后 
再 将 其 交 给 网 络 层 ， 如 图 3.1.1 所 示 。 其 中 ， 会 使 用 TCP 或 UDP 协议 
来 表示 数据 需要 怎样 的 通信 控制 ， 使 用 端口 号 来 表示 数据 使 用 了 哪 项 服 
务 。 如 果 应 用 数据 较 大 ， 就 把 数据 按 MSS (Maximum Segment Size， 最 
大 报 文 段 长 度 ) 切 分 分 段 。 关 于 MSS 的 内 容 详 见 3.1.1.3 节 。 





























图 3.1.1 在 传输 层 为 数据 添加 传输 报头 


我 们 再 来 看 接收 数据 的 步骤 。 先 是 在 网 络 层 番 掉 IP 报头 使 数据 变 为 报 
文 段 的 形式 ， 然 后 将 报 文 段 交 给 传输 层 。 接 下 来 在 传输 层 凶 挥 报 文 段 的 
传输 报头 使 其 还 原 为 应 用 数据 ， 最 后 交 给 会 话 层 。 这 些 处 理 步 又 和 发 送 
数据 时 是 恰好 相反 的 。 


3.1.1.1 ”传输 层 使 用 TCP 和 UDP 两 种 协议 


传输 层 是 网 络 和 应 用 程序 之 间 的 桥梁 。 应 用 程序 对 网 络 的 要 求 是 多 种 多 
样 的 ， 传 输 层 将 这 些 要 求 分 为 即时 性 〈 实 时 性 ) 和 可 靠 性 两 大 类 ， 分 别 
通过 不 同 的 协议 来 实现 。 要 求实 时 性 的 应 用 程序 使 用 UDP (User 
Datagram Protocol， 用 户 数据 报 协议 ) ， 要 求 可 靠 性 的 应 用 程序 使 用 
TCP (Transmission Control Protocol， 传 输 控制 协议 ) ， 使 用 哪 一 类 协议 
在 IP 报 头 中 的 协议 编号 字段 中 定义 。TCP 和 UDP 的 差别 见 表 3.1.1。 








表 3.1.1 TCP 和 UDP 的 差别 就 是 可 靠 性 和 实时 性 的 差别 
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用 UDP 进行 快速 传送 


UDP 用 于 语音 通话 (VoIP，Voice over IP) 、 多 目 通信 视频 发 布 、 名 称 
解析 、DHCP 等 追求 即时 性 的 应 用 程序 。 它 专注 于 传送 本 吴 ， 不 具备 可 
靠 性 ， 可 省 去 迷 琐 的 步 又 ， 即 时 性 非 钟 高 ， 其 报 文 格式 如 图 3.1.2 所 
示 : 


前 导 码 | 以 坟 网 报头 | IP 报头 


图 3.1.2 UDP 的 报 文 格式 


由 于 UDP 追求 即时 性 ， 封 包 格 式 也 较为 简单 ， 只 有 8 字 节 (64 位 ) 。 
客户 端 用 UDP 对 数据 进行 封包 然后 源源 不 断 地 传送 ， 并 不 管 服务 器 方 
面 如 何 。 服 务 器 收 到 数据 后 利用 UDP 报头 中 所 含 的 报头 长 和 校 验 和 去 











检查 数据 是 否 正 确 ， 检 验 合 格 后 才 真 正 接收 数据 〈 图 3.1.3) 。 
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UDP 客户 端 UDP 服务 器 
图 3.1.3 ”UDP 会 源源 不 断 地 传送 数据 
用 TCP 进行 可 靠 传 送 


TCP 用 于 邮件 、 文 件 的 发 送 以 及 Web 浏览 器 等 追求 可 靠 性 的 应 用 程 
序 ， 其 报 文 格式 如 图 3.1.4 所 示 。 
接 通路 ， 在 其 中 进行 数据 交换 。 这 个 连接 通路 叫 作 “连通 ”。 通 过 TCP 
进行 数据 交换 的 方法 比较 复杂 ， 在 3.1.1.2 节 中 会 详细 说 明 。 粗 略 地 

讲 ， 就 是 每 次 传送 数据 时 都 要 进行 一 个 “我 要 发 送 了 哦 “我 收 到 了 哦 ”的 
双向 确认 。 由 于 每 次 都 是 一 边 确 认 一 边 传 送 ， 可 靠 性 非常 高 。TCP 报头 
中 包含 着 诸多 信息 ， 如 图 3.1.3 所 示 。 
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图 3.1.4 TCP 的 报 文 格式 















EE Ethernet TI Sre: Vmware_6b:f5:de (0010c:29:6b: 伍 :6e]) ER 27:4b (00:0c:29:1b:27:4b) 
B 802.10 Virtual LAN, PRI: 0, CFI: 0, ID: 4093 
| Internet Protoool Version 4, Sire: 10,1-1.100 (10,1:1 100), Dt; 192.168.100, 1(192.168. i00.1) 





本 TCP SACK Permitted Option: True 
@ End of Option List (EOL) 








图 3.1.5 TCP 报头 中 包含 着 诸多 信息 
由 于 TCP 追求 可 靠 性 ， 封 包 格 式 相 对 复杂 ， 长 达 20 字 节 (160 位 ) 。 


而 且 它 使 用 了 大 量 报头 对 “我 要 发 送 了 哦 ?和 “我 收 到 了 哦 ?进行 匹配 确 
认 ， 并 高 效 地 收发 数据 〈 图 3.1.6) 。 


TCP 客户 端 


图 3.1.6 用 TCP 进行 可 靠 传 送 
通过 端口 号 识别 应 用 程序 


传输 层 还 有 一 个 很 大 有 的 作用 ， 那 就 是 识别 应 用 程序 〈 服 务 ) : 。 前 面 提 
过 ， 只 要 有 网 络 层 ， 数 据 就 能 够 传送 到 目标 和 节点。 然而， 接收 数据 的 节 
点 其 实 并 不 清楚 应 怎样 处 理 该 数据 ， 这 时 惑 要 用 到 传输 层 。 传 输 层 可 以 
通过 疹 口号 识别 出 数据 属于 哪个 应 用 程序 。 端 口 吕 和 应 用 程序 是 匹配 对 
应 的 关系 ， 传 输 层 认 出 目的 端口 号 之 后 就 能 知道 它 属 于 哪 一 个 应 用 程 


序 。 也 就 是 说 ， 传 输 层 能 够 根据 匹配 对 应 的 信息 判断 出 应 将 数据 交 给 哪 
一 个 应 用 程序 。 




















1 严格 地 说 并 不 是 识别 应 用 程序 本 身 ， 而 是 识别 使 用 该 应 用 程序 的 服务 进程 。 为 了 浅显 易 伐 ， 
本 章 将 “应 用 程序 ”和 “服务 进程 ” 视 为 同一 事物 。 















端 日 号 和 应 用 程序 年 
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应 用 程序 并 分 别 发 送 
数据 
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图 3.1.7 利用 目的 端口 号 识别 数据 所 属 的 应 用 程序 


端口 号 的 数字 范围 在 0 一 65535 (16 位 ) 之 间 。 根 据 进一步 细 分 的 数字 
范围 和 使 用 用 途 ， 人 们 将 端口 分 为 系统 端口 、 用 户 端 口 、 动 态 和 /或 私 
有 端口 这 三 种 类 型 。 





表 3.1.2 端口 号 分 为 三 种 




















pe | 用 于 用 本 





1024~49151 用 户 端口 用 于 生产 商 特 有 的 应 用 程序 











动态 和 /或 私有 端口 在 客户 端 随机 分 配 


。 系统 端口 


端口 号 为 0 一 1023 的 端口 是 系统 端口 ， 更 党 用 的 叫 法 是 “公认 端 
口 ”。 系 统 端口 由 ICANN 中 的 IANA (Internet Assigned Numbers 
Authority〉 部 门 管理 ， 一 般 说 来 和 服务 器 应 用 程序 是 一 一 对 应 的 关 
系 。 例 如 ，TCP/80 是 用 于 Web 浏览 器 的 HITP， 在 HTTP 服务 器 
中 使 用 ，UDP/123 是 用 于 时 间 同 步 的 NTP (Network Time 
Protocol) ， 在 NTP 服务 器 中 使 用 。 上 典型 的 系统 端口 见 表 3.1.3。 


表 3.1.3 系统 端口 用 于 普通 的 服务 器 应 用 程序 
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587 提交 端口 = 





e。 用户 端口 





端口 号 为 1024 ~ 49151 的 端口 是 用 户 端口 。 与 系统 端口 一 样 由 
IANA 管理 ， 与 生产 商 开 发 的 特有 服务 器 应 用 程序 是 一 一 对 应 的 关 
系 。 例 如 ，TCP/3389 用 于 微软 Windows 的 远程 桌面 ，TCP/3306 用 
于 MySQL 的 数据 库 连 接 。 和 典型 的 用 户 端 口 见 表 3.1.4。 


表 3.1.4 用 户 端 口 用 于 特有 的 应 用 程序 


TCP UDP 

ee 
EC 
EE 
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@ 动态 和 / 或 私有 端 口 


端口 号 为 49152 ~ 65535 的 端口 是 动态 和 / 或 私有 端口 ， 不 受 
IANA 管理 ， 客 户 端 在 生成 报 文 段 时 会 随机 生成 源 端口 号 。 将 上 述 
范围 内 的 端口 号 随机 分 配给 源 端 口 ， 客 户 端 就 能 知道 应 将 数据 返回 
给 哪 一 个 应 用 进程 。 随 机 分 配 的 端口 号 因 OS 而 异 ， 例 如 ， 
Windows Vista/7/8 是 49152 ~ 65535，Linux 则 默认 为 32768 ~ 
61000。Linux 使 用 的 随机 端口 号 范围 在 IANA 指定 的 动态 和 / 或 私 
有 端口 的 范围 之 外 。 





















TCR 


SSH 
[TeraTerm ) 





图 3.1.8 源 端 口号 是 由 客户 端 随机 分 配 的 
下 面 的 图 例 显示 了 接收 和 发 送 数 据 时 端口 号 与 应 用 程序 的 对 应 关 
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图 3.1.9 ”端口 号 是 和 应 用 程序 关联 在 一 起 的 
通过 标志 互相 传达 连接 的 状态 


TCP 通过 “控制 位 ”管理 连接 的 状态 。 控 制 位 由 长 度 为 6 位 的 标志 构成 ， 
如 表 3.1.5 所 示 ， 每 个 位 都 代表 一 定 的 含义 。 


关于 这 些 6 位 标志 的 用 法 将 在 后 面 详细 说 明 。 
表 3.1.5 控制 位 由 长 度 为 6 位 的 标志 构成 








me | Ar | wm | Rr | sw [rm| 











3.1.1.2 ”TCP 的 工作 原理 比较 复杂 
为 了 保证 连接 的 可 靠 性 ，TCP 执行 的 处 理 都 比较 复杂 。 本 书 将 TCP 的 


解 。 








处 理 分 成 "建立 连接 时 ”连接 时 ”和 “结束 连接 时 三 个 阶段 ， 分 别 进行 讲 


TCP 始 于 三 次 握手 


首先 我 们 来 看 建立 连接 时 。TCP 连接 必须 从 三 次 握手 开始 ， 我 们 可 以 把 
三 次 握手 理解 为 发 送 数 据 之 前 的 打招呼 。 这 里 有 三 个 要 后 ， 分 别 是 标 
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序列 号 和 选项 头 。 


标志 





三 次 握手 的 标志 必须 按照 SYN、SYN/ACK、ACK 的 前 后 顺序 依次 
变化 才 行 。 这 一 系列 作业 完成 之 后 ， 客 户 端 和 服务 器 变 为 
ESTABLISHED (已 建立 ) 的 状态 ， 生 成 一 个 叫 作 TCP 连接 的 虚拟 
通信 路 径 。 前 面 说 过 ， 三 次 握手 在 TCP 中 毕竟 只 相当 于 打招呼 ， 
所 以 实际 上 它 并 不 执行 应 用 数据 的 交换 。 


序列 守 


正如 其 名 ， 序 列 写 是 表示 数据 顺序 的 编号， 客户 并 按 照 这 些 编写 去 
排列 数据 。 


初始 序列 号 用 于 发 送 应 用 数据 ， 它 是 在 三 次 握手 中 决定 的 。 开 始 连 
接 的 节点 随机 选择 一 个 序列 号 (x) 并 发 送 SYN 包 ， 对 方 节点 收 到 
SYN 包 后 同样 随机 选择 一 个 序列 号 (y〉 并 回应 SYN/ACK 包 。 接 
下 来 最 初 的 节点 在 序列 号 中 写 入 x+1， 在 ACK 号 中 写 入 y+1， 最 
后 发 送 ACK 包 。x+1 和 y+1 就 是 这 两 个 节点 各 自 的 初始 序列 号 。 


三 次 握手 中 的 序列 号 和 ACK 号 仅仅 只 是 为 了 确定 初始 序列 号 而 存 
在 的 ， 它 们 和 交换 应 用 数据 时 要 用 到 的 序列 号 和 ACK 号 有 着 微妙 























的 不 同 。 
。 选项 头 


选项 头 起 着 重要 的 作用 ， 那 就 是 诀 定 后 续 需 要 交换 的 应 用 数据 的 大 
小 。 应 用 数据 太 大 的 话 是 无 法 一 次 性 发 送 的， 必须 切 分 成 一 定 的 大 
小 分 别 发 送 才 行 。 切 分 区 域 的 最 大 长 度 叫 作 MSS (Maximum 

Segment Size， 最 大 报 文 段 长 度 ) ， 三 次 握手 将 MSS 植 入 选项 头 中 
和 








标志 按 SYN、SYNACK、 

ACK 的 顺序 依次 变化 
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图 3.1.10 通过 三 次 握手 建立 连接 
一 次 性 地 高 效 发 送 数据 
通过 三 次 握手 建立 起 连接 之 后 ， 就 可 以 友 送 应 用 数据 了 。 为 了 能 既 保 持 


数据 的 可 靠 性 又 追求 数据 发 送 的 速度 ，TCP 中 有 痢 很 多 的 传输 控制 机 
制 ， 本 书 将 介绍 其 中 的 三 个 核心 部 分 ， 分 别 为 确认 机 制 、 超 时 重 传 机 制 
和 流量 控制 机 制 。 


。 确认 机 制 


TCP 通过 序列 号 和 ACK 号 相互 配合 运作 来 保证 数据 的 可 靠 性 ， 这 
项 机 制 叫 作 确认 机 制 。 


序列 号 是 表示 数据 顺序 的 编号 ，TCP 必须 按照 顺序 对 数据 进行 发 送 
和 接收 ， 因 此 我 们 可 以 根据 序列 号 去 判断 当前 已 经 发 送 了 多 少数 
据 。 初 始 序列 号 是 在 三 次 握手 时 随机 分 配 的 ， 用 当前 的 序列 号 减 去 
初始 值得 到 的 数字 就 能 告诉 我 们 已 经 发 出 了 多 长 的 数据 。 顺 便 提 一 
句 ， 数 据 以 字 节 为 长 度 单位 ， 序 列 号 的 32 位 (2 字 节 ， 即 4 吉 字 
节 ) 用 完 之 后 即 归 夫 。 


a 已 经 发 送 了 
数据 的 起 点 这 么 多 的 数据 
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序列 号 初始 序列 号 是 序列 号 
1000 随机 分 配 的 5380 


图 3.1.11 序列 写 表示 数据 的 顺序 


ACK 号 表示 接收 信息 的 和 节点 当前 已 经 收 到 了 多 少数 据 ， 它 会 返回 
一 个 “序列 号 + 数据 长 度 ” 的 数值 ， 相 当 于 告诉 对 方 “ 我 已 经 收 到 了 
这 么 多 (序列 号 + 数据 长 度 ) 的 数据 哦 ， 把 下 一 个 发 给 我 

吧 ! ”ACK 号 就 是 即将 发 送 的 数据 的 序列 号 。 
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图 3.1.12 ACK 写 告 诉 我 们 当前 接收 市 点 已 经 接收 了 多 少数 据 
。 超时 重 传 机 制 


确认 机 制 让 数据 能 够 按照 顺序 排列 ， 但 是 ， 数 据 并 不 总 是 能 够 按照 
顺序 收发 或 排列 的 。 比 如 ， 当 设备 发 生 故 障 时 报 文 段 可 能 会 意外 地 
消失 ;， 作 为 优先 级 控制 《QoS ) 的 结果 ， 报 文 段 也 可 能 会 被 刻意 丢 
弃 。 这 时 候 我 们 就 要 用 到 TCP 中 请 求 重 新 传送 丢失 数据 的 功能 ， 
这 项 功能 束 叫 作 超 时 重 传 。 


超时 重 传 也 要 用 到 序列 号 和 ACK 号 。 假 设 服务 器 发 送 了 第 二 个 数 
据 ( 序 列 号 : x) ， 但 该 数据 不 知 在 何 处 丢失 了 ， 这 样 客户 端 就 不 
会 返回 确认 响应 的 ACK 包 (CACK 号 : x) 。 遇 到 这 种 情况 ， 服 务 
器 在 等 待 一 定时 间 之 后 就 会 重新 发 送 数 据 〈( 序 列 号 : x) ， 这 个 等 
待 的 时 间 叫 作 RTO (Retransmission Time Out， 重 传 超时 ) ，RTO 
是 根据 报 文 段 的 往返 时 间 RTT (Round Trip Time， 往 返 延 迟 时 间 ) 
目 动 计算 出 来 的 。 








图 3.1.13 ACK 包 没 有 返回 时 ， 服 务 器 将 重 传 数据 


。 流量 控制 机 制 


确认 机 制 和 超时 重 传 机 制 都 属于 提高 通信 可 靠 性 的 功能 ， 不 过 在 通 
信 中 ， 可 靠 性 固然 重要 ， 速 度 也 同等 重要 。 因 此 TCP 中 还 配备 了 
流量 控制 功能 ， 它 能 够 在 确保 可 靠 性 的 同时 提高 传输 效率 。 


流量 控制 是 一 种 用 于 在 连接 上 发 送 大 量 报 文 段 的 功能 。 如 果 每 收 到 
一 个 报 文 段 就 要 返回 一 个 确认 啊 应 ， 传 输 效率 是 无 法 提高 的 ， 所 以 
流量 控制 批量 接收 报 文 段 ， 收 到 后 仅 返 回 一 个 ACK 啊 应 包 ， 传 输 
效率 因此 而 提高 。 在 流量 控制 中 起 着 重要 作用 的 头 是 “窗口 大 小 ”这 
个 概念 。 收 到 的 应 用 数据 先是 被 暂时 存 入 接收 缓冲 区 ， 然 后 才 被 交 




















给 应 用 程序 。 目 的 节点 在 返回 ACK 包 的 时 候 ， 将 接收 缓冲 区 的 空 
余 容 量 以 “窗口 大 小 ?的 概念 通知 对 方 ， 防 止 发 来 的 数据 太 大 而 发 生 
洲 出 。 源 节操 得 知 缓冲 区 的 空余 容量 之 后 ， 在 批量 发 送 报 文 段 的 时 
候 就 会 将 数据 大 小 控制 在 窗口 大 小 的 范围 之 内 。 
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图 3.1.14 流量 控制 能 提高 传输 效率 


发 送 结束 之 后 应 完全 关闭 TCP 连接 


应 用 数据 发 送 完毕 之 后 应 该 完全 关闭 连接 。 如 果 未 能 完全 关闭 导致 存在 
残余 连接 ， 将 会 无 法 建立 新 的 连接 。 


这 一 步 有 两 个 关键 要 素 ， 分 别 是 FIN 标志 和 TIME-WAIT。 


。FIN 标志 





结束 连接 的 时 候 要 用 到 FIN 标志 。FIN 标志 表示 “我 再 也 没有 要 发 
送 的 数据 了 哦 ”的 意思 ， 由 上 层 应 用 程序 提供 。FIN 可 能 由 发 送 方 
和 接收 方 的 任何 一 方 节点 发 出 ， 发 出 之 后 ， 接 下 来 的 标志 依次 分 别 


为 FIN/ACK、ACK、FIN/ACK 和 ACK。 请 注意 ， 这 里 要 比 开 始 连 
接 时 更 加 小 心 ， 不 能 弄 错 它们 的 顺序 。 


TIME-WAIT 


前 面 讲 过 ， 建 立 连接 的 时 候 ， 依 次 经 过 SYN、SYN/ACK、ACK 这 
几 个 标志 之 后 连接 就 成 立 了 了 人。 然而， 关闭 连接 的 时 候 ， 两 端的 节点 
却 不 是 马上 束 关 掉 的 。 节 点 收 到 FIN 标志 后 会 等 待 一 段 TIME- 
WAIT 的 时 间 ， 超 过 该 时 间 之 后 才 关 闭 。 这 是 为 了 避免 重复 使 用 同 
一 序列 号 和 端口 号 ， 相 当 于 上 了 一 道 保 险 。 


在 RFC 中 ，TIME-WAIT 的 推荐 时 长 为 最 大 报 文 段 寿 命 〈(MSL， 
Maximum Segment Lifetime) 的 两 倍 。MSL 是 120 秒 ， 因 此 TIME- 
WAIT 的 推荐 时 长 为 240 秒 。 然 而 在 实际 环境 中 240 秒 稍微 长 了 一 
点 ， 可 能 会 导致 本 地 靖 口 资源 的 枯竭 ， 所 以 人 们 在 设置 时 常常 会 刻 
意 将 其 缩短 一 点 。 顺 便 提 一 句 ，TIME-WAIT 的 默认 时 长 因 OS 的 
种 类 和 版 本 而 异 ，Windows Server 2003/2008 为 120 秒 ，Linux OS 
则 为 60 秒 。 
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图 3.1.15 用 FIN 关闭 连接 
3.1.1.3 MTU 和 MSS 的 差异 在 于 对 象 层 不 同 





MTU (Maximum Transmission Unit， 最 大 传输 单元 ) 和 

MSS (Maximum Segment Size， 最 大 报 文 段 长 度 ) 是 两 个 文 撑 网 络 的 重 
要 元 素 ， 然 而 关于 它们 的 介绍 非常 少 ， 问 题 也 很 容易 在 它们 这 里 滋生 ， 
下 面 我 们 就 来 理 理 这 部 分 的 头绪 。 


MTU 和 MSS 都 是 表示 数据 大 小 的 用 语 ， 不 过 它们 所 指 的 对 象 层 并 不 一 
样 。MTU 指 的 是 网 络 层 中 的 数据 大 小 。 利 用 网 络 发 送 应 用 数据 的 时 

候 ， 我 们 不 能 将 太 大 的 数据 一 次 性 地 发 出 去 ， 而 应 该 对 数据 进行 切 分 之 
后 一 点 点 地 发 出 去 。 这 时 候 用 到 的 数据 大 小 就 是 MITU。 不 同 的 传输 媒 








介 有 着 不 同 的 MTU 值 ， 以 太 网 默认 的 MTU 为 1500 字 节 。 


与 MTU 相对 ，MSS 指 的 是 应 用 程序 方面 〈 由 会 话 层 到 应 用 层 ) 的 数据 
大 小 。 如 果 不 对 MSS 进行 特别 的 设置 或 者 不 使 用 客户 端 VPN 软件 ， 
MSS 的 值 束 是 用 根据 “MTU 一 40 字 节 《TCP/IP 报头 ) ”这 个 公式 算出 来 
的 数字 。 例 如 ， 以 太 网 的 MTU 值 为 1500 字 节 ， 那 么 它 的 MSS 值 就 是 
1460 字 节 。 


应 用 数据 ( 5380 字 节 } 





1460 字 节 1460 字 节 1460 字 节 1000 字 节 


按 NSS 切 分 
应 用 数据 


“Pp 报关 ies 
20 守节 给 MSS 加 EE TGP/IP 
报头 就 成 了 MTU 





图 3.1.16 MSS = 二 MTU 一 TCP/IP 报头 《〈40 字 节 ) 


有 些 环境 中 的 某 些 路 段 MTU 值 俩 小 ， 在 这 样 的 环境 中 MTU 和 MSS 很 
容易 滋生 问题 ? 。 我 们 知道 网 络 无 法 发 送 大 于 MTU 的 数据 包 ， 于 是 ， 
遇 到 某 些 路 段 MTU 值 偏 小 的 环境 时 ， 为 了 让 数据 大 小 不 超出 MTU 值 
的 范围 ， 我 们 必须 在 路 由 器 或 防火 墙 施加 一 定 的 处 理 才 行 。 了 P 报头 的 标 
志 字 上 段 中 DF (Dont Fragment， 禁 止 分 片 ) 位 的 值 不 同 ， 处 理 方法 也 会 
有 所 不 同 。 下 面 分 别 介绍 一 下 DF 为 0 和 DF 为 1 时 的 情况 。 


2 当 我 们 使 用 NTT 东 日 本 /西日本 提供 的 “B FLET'S” 或 “FLET'S ADSL” 通 信服 务 时 ，PPP 之 
间 、ISP 之 间 连 接 的 系统 开销 会 使 MTU 值 变 成 1454 字 节 。 较 之 以 太 网 的 MTU，FLET'S 部 分 
的 MTU 值 更 小 ， 这 人 句 话 里 面 的 “环境 ”就 是 指 类 似 这 种 情况 的 环境 。 























图 3.1.17 网 络 无 法 发 送 大 于 MTU 的 数据 包 
DF 为 0( 人 允许 分 片 ) 的 数据 包 将 被 切 分 


DF 为 0 表示 该 数据 包 可 以 分 片 。 既 然 可 以 分 片 ， 那 我 们 就 分 片 好 了 。 
这 样 ， 即 使 条 个 路 段 的 MTU 值 比较 小 ， 也 就 不 存在 问题 了 ， 只 要 将 数 
据 包 分 片 后 及 出 去 即 可 。 如 果 一 定 要 说 有 什么 问题 的 话 ， 只 有 一 个 ， 那 
就 是 分 片 处 理 的 负荷 问题 。 不 过 最 近 ， 路 由 器 和 防火 墙 的 规格 都 相当 
高 ， 执 行 分 片 处 理 绰绰有余 ， 所 以 我 们 完全 不 必 担 心 。 








图 3.1.18 若 DF 为 0 则 直接 进行 分 片 处 理 
DF 为 1 (不 允许 分 片 ) 的 数据 包 可 有 三 种 办 法 解决 问题 


DF 为 1 表示 该 数据 包 不 可 分 片 。 既 然 不 可 分 片 ， 那 我 们 就 要 想 办 法 让 
数据 包 不 分 片 也 能 够 传送 ， 或 者 执行 一 个 使 数据 包 能 够 分 片 的 处 理 。 这 
种 情况 下 ， 有 三 种 办 法 可 供 选 择 。 


。 通过 ICMP 获悉 MTU 的 值 


ICMP 是 一 个 不 仅 能 用 于 通信 确认 ， 还 在 很 多 方面 都 默默 无 闻 地 做 
着 贡献 的 协议 ，MTU 也 会 用 到 它 。 这 部 分 按 顺 序 解释 可 能 会 比较 
容易 理解 ， 我 们 来 看 下 面 的 流程 ，ICMP 是 按照 这 些 步骤 调整 MTU 
的 。 


1 ~- 源 市 点 将 MTU 值 设 为 1500 字 市 并 友 出 数据 包 。 


2 -路 由 器 将 数据 包 入 口 处 和 出 口 处 的 MTU 值 进行 比较 ， 如 果 
出 口 处 的 值 较 小 ， 束 通过 ICMP 将 该 值 报告 给 源 节 点 。 顺 便 提 一 
句 ， 这 时 使 用 的 ICMP 类 型 为 3 (Destination Unreachable， 目 的 地 
无 法 到 达 ) ， 代 码 为 4 (Fragmentation needed， 需 要 分 片 ) 。 


3 源 节 点 收 到 ICMP 后 ， 用 获悉 的 MTU 值 重 新 生成 数据 包 并 
再 次 发 送 。 















出 口 处 的 MTU 人 秆 比 
入 口 处 的 MTU 令 小 


Te 通过 信息 Fragmentation 
4 一 nseded 将 出 号 处 的 MTU 
将 MTU 值 改 为 值 报告 给 源 节点 
1454 后 ， 再 次 
发 送 数据 包 ,IPIP | my 


图 3.1.19 ”ICMP 将 下 一 跳 的 MTU 值 报告 给 源 节 点 





| Ethernet 1, Src: Buffalo_8e:n65:f9 (00:1d:73;8e:n6;/9), Dst: AsustekC_c1:53:0b (eO:cb:4e:c1:53:0b) 
Internet Protocol Version 4,I5te: 192.168,1.254 (192.168.,1,254)| Dst: 192.168.1.20 {192.168.1.20) 
IB 


Type; 3 (Destination unreachable) 
Code: 4 (Fragrnentation need > 


Checksum: Oxics0 [correct] O20 
Ws 


四 intermet Protocol Version 4, Src: 192,168.1.20 (192.168,1.20), Dst: 107.20,249.104 {107,20,24S;104) 
国 

















图 3.1.20 ”通过 信息 Fragmentation needed 将 下 一 跳 的 MTU 值 报 
告 给 源 节 扣 


通过 ICMP 解决 分 片 问题 虽然 简单 易 懂 ， 但 是 如 果 路 段 的 茶 处 拒 缀 
ICMP， 就 无 法 发 挥 作用 了， 我 们 务必 要 注意 这 一 点 。 


。 改写 DF 位 
接 下 来 介绍 改写 〈( 清 零 ) DF 位 的 处 理 办 法 。 既 然 无 法 分 片 ， 那 么 


我 们 想 办 法 让 它 能 分 片 就 是 了 。 是 否 允 许 分 片 由 DF 位 决定 ， 所 以 
9 以 将 DF 位 清 零 使 其 允许 分 片 ， 然 后 将 数据 包 分 片 并 发 送出 





图 3.1.21 将 DF 位 清 零 然后 执行 分 片 处 理 


。 在 三 次 握手 中 将 MSS 值 改 小 


最 后 介绍 调整 MSS 值 的 办 法 ， 这 种 办 法 也 是 最 为 常用 的 。 我 们 知 
道 MTU = MSS 十 40 字 节 ， 所 以 ， 为 了 让 报 文 段 的 长 度 不 至 于 超 
过 MTU 值 ， 我 们 也 可 以 将 MSS 的 值 改 小 ， 这 样 就 连 分 片 都 不 用 
了 。MSS 由 三 次 握手 的 TCP 选项 头 决 定 ， 将 该 选项 头 中 所 含 的 
MSS 值 改 写成 较 小 的 数字 ， 就 能 让 报 文 段 的 长 度 保 持 在 出 口 处 接 
口 的 MTU 值 范 围 之 内 了 。 


MTU 处 的 MTU: 伟 论 
1500 字 和 苇 1464 字 兆 入 站 处 的 MTU 什 小 


们 桨 MSS 改写 成 较 小 的 蔓 
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图 3.1.22 改写 MSS 的 值 


3.1.2 用 防火 墙 守 卫 系 统 


在 传输 层 运 作 的 主要 设备 是 防火 增 。 防 火 增 是 一 种 基于 网 络 层 (IP 地 
址 ) 和 传输 层 〈 端 口号 〉 的 信息 来 控制 通信 的 设备 ， 它 遵照 预 完 制定 的 
ee 最 终 决 定 是 放行 还 是 拒绝 通过 ， 以 此 来 守卫 系 











防火 墙 的 通信 控制 功能 叫 作 “ 状 态 检 测 ”。 状 态 检 测 是 防火 墙 的 一 项 核心 
技术 ， 非 常 重要 ， 我 们 务必 好 好 掌握 它 的 工作 原理 。 


3.1.2.1 基于 连接 进行 控制 
状态 检测 是 基于 连接 表 的 信息 来 执行 的 。 连 接 表 由 “ 源 / 目 的 PP 地 


址 协议 * 源 / 目的 端口 号 "和 “连接 状态 "等 各 种 信息 构成 ， 在 该 表 中 可 
以 看 到 都 有 哪些 通信 经 过 其 中 。 








下 面 我 们 来 看 状态 检测 是 如 何 通过 连接 表 工 作 的 。 首 先 来 理 清 一 下 网 络 
环境 和 前 提 条 件 ， 这 里 我 们 假设 客户 端 要 在 下 图 所 示 的 环境 中 通过 
HTTP 去 访问 Web 服务器。 

| 副 | 

| 外 部 | 内 部 | ANY | 80 | 锋 


外 部 内 部 
1.41.1.0/24 2.2,2.0/24 


图 3.1.23 有 助 于 我 们 了 解 状态 检测 的 结构 实例 


1 ~” ， 防火墙 通过 外 部 接口 收 到 SYN 包 后 ， 将 其 和 自身 的 过 滤 规 则 进 
行 对 照 ， 发 现 与 第 一 个 条 目 相符 ， 于 是 允许 此 通信 通过 。 









图 3.1.24 防火 墙 首 先 会 查看 过 滤 规 则 





2 ”人 允许 通信 通过 之 后 ， 防 火 墙 会 在 连接 表 中 建立 条 目 。 与 此 同时 ， 
它 还 会 动态 添加 一 条 规则 ， 人 允许 对 应 该 条 目的 返回 通信 。 然 后 ， 再 将 包 
转发 给 Web 服务 器 。 
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DDD 


22.2.0/24 


图 3.1.25 ”在 连接 表 中 建立 条 目 ， 同 时 添加 一 条 允许 返回 通信 的 规则 


3 -， Web 服务 器 生成 一 个 响应 SYN 包 的 SYN/ACK 包 ， 并 将 其 返回 
te 
一 条 允许 返回 通信 的 规则 ， 于 是 得 以 成 功 发 送 。 














图 3.1.26 ”人 允许 返回 通信 的 规则 生效 ， 通 信和 成 功 
4 客户 端 生 成 一 个 响应 SYN/ACK 包 的 ACK 包 ， 并 将 其 返回 给 


Web 服务 器 。 防 火 墙 凭借 该 ACK 包 上 断定 客户 端 和 服务 器 之 间 的 连接 已 
建立 ， 接 下 来 在 连接 上 开始 交换 应 用 数据 。 


| 入 许 上 
2222|1111| 50 [50000 | 区 主 






图 3.1.27 收 到 返回 的 ACK 包 后 ， 防 火 墙 断定 连接 已 建立 











5 -~ 连接 建立 之 后 ， 状 态 检测 机 制 会 去 监控 新 建 条 目 是 否 真 的 有 用 武 
之 地 。 如 果 超 过 一 定时 间 未 被 使 用 ， 该 条 目 就 会 和 人 允许 返回 的 通信 规则 
一 起 被 强制 性 删除 。 条 目的 周期 (条目 自生 成 到 被 删除 的 时 间 〉 往往 取 
决 于 使 用 的 设备 和 OS， 有 的 是 按 应 用 程序 设置 的 ， 有 的 则 是 控 协 议 设 
置 的， 我 们 在 设计 之 前 一 定 要 确认 清楚 。 











图 3.1.28 ”监控 创建 的 连接 是 否 有 用 


6 -~ ”应 用 数据 发 送 完 毕 之 后 ， 必 须 将 连接 完全 关闭 才 行 。 防 火 墙 在 最 
后 会 根据 客户 端 和 服务 器 之 间 交 换 的 报 文 段 序列 (依次 为 FIN/ACK、 
I 返回 的 通信 规则 一 起 删 








图 3.1.29 ”将 连接 条 目 和 人 允许 返回 的 通信 规则 一 起 删 掉 
3.1.2.2 ”状态 检测 和 包 过 滤 之 间 的 区 别 


网 络 设备 拥有 的 通信 控制 功能 大 致 可 以 分 为 两 种 ， 一 种 是 防火 增 具 备 的 
状态 检测 功能 ， 另 一 种 则 是 路 由 器 和 L3 交换 机 具备 的 包 过 滤 功 能 。 二 
者 常常 被 混为一谈 ， 但 实际 上 它们 还 是 有 区 别 的 ， 防 火 墙 的 通信 控制 功 
能 不 可 能 完全 被 路 由 口 或 上 3 交换 机 所 痊 代 。 二 者 之 间 的 最 大 差异 在 于 
是 基于 连接 还 是 基于 数据 包 。 


前 面 已 经 介绍 过 ， 状 态 检 测 将 通信 视 为 一 种 连接 并 对 其 进行 灵活 的 控 
制 。 实 际 上 ， 除 此 之 外 它 还 会 监控 连接 状态 是 舍 前 后 呼应 ， 如 果 出 现 自 
相 了 矛盾 的 情况 束 会 断 开 连 接 。 举 个 例子 ， 如 果 没 有 收 到 SYN 包 融 不 应 
该 有 ACK 包 发 过 来 ， 万 一 发 过 来 了 就 表示 出 现 了 问题 。 状 态 检 测 对 类 
似 的 非 正常 通信 状态 起 着 监控 作用 ， 一 旦 发 现 问题 就 会 立刻 将 其 阻 断 。 














按理 不 应 该 带 无 前 兆 地 发 来 


ACK 包 ， 所 以 一 旦 发 现 这 
样 的 ACK 包 就 会 将 其 阳新 “” 先 和 






AAA 
查 连 接 是 
必 ] 国生 
客户 庙 委 前 后 呼应 Web 服务 器 


图 3.1.30 防火墙 会 检查 连接 状态 是 否 前 后 呼应 


包 过 小 则 将 通信 和 视 为 一 种 数据 包 。 每 次 收 到 数据 包 后 ， 该 功能 都 会 将 其 
和 过 小 规则 进行 对 照 ， 然 后 决定 是 允许 还 是 拒绝 该 通信 。 到 这 里 为 止 ， 
包 过 滤 的 机 制 都 是 和 状态 检测 一 样 的 ， 它 们 的 不 同 之 处 在 于 如 何 对 待 返 
回 的 通信 。 状 态 检测 对 返回 通信 采取 的 是 动态 等 候 的 机 制 ， 包 过 滤 则 没 
和 
可 才 行 。 








客户 端 
Web 服务 器 


图 3.1.31 对 于 返回 通信 ， 包 过 小 必须 男 外 给 出 许可 


假设 现在 我 们 想 要 允许 从 某 个 客户 端 通 往 Web 服务 器 的 HTTP 通信 。 
使 用 状态 检测 时 ， 只 要 有 “人 允许 从 该 客户 端 通 往 Web 服务 器 的 HITP” 这 
一 个 规则 ， 就 能 自动 允许 返回 的 通信 ;而 使 用 包 过 滤 时 ， 除 了 人 允许 从 该 
客户 端 通 往 Web 服务 器 的 HTTP 之 外 ， 还 必须 允许 从 Web 服务 器 通 往 
客户 端的 返回 通信 才 行 。 而 且 ， 人 允许 返回 通信 的 规则 还 具有 致命 的 易 受 
攻击 性 ， 因 为 在 从 Web 服务 器 通 往 客户 端的 通信 中 ， 源 端口 为 
TCP/80， 目 的 端口 为 OS 随机 选 出 的 TCP/1024 一 65535， 这 使 得 包 过 滤 
必须 对 大 范围 的 目的 端口 号 都 给 出 许可 。 人 
问题 ， 万 一 服务 器 被 劫持 ， 后 果 将 不 堪 设 





互联 网 














图 3.1.32 返回 通信 本 里 非常 容易 受到 恶意 攻击 


有 些 设备 可 能 会 有 一 个 Established 的 可 选项 ， 人 允许 人 们 将 带 有 ACK 或 
FIN 标志 的 包 视 为 返回 通信 发 放 许 可 。 但 是 恶意 破坏 者 只 要 想 办 法 操纵 
过 滤 规 则 的 空子 ， 所 以 这 个 可 选项 在 数据 安全 上 同样 存 
于 着 问题 。 
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Web 站 务 识 


图 3.1.33 ”即便 使 用 Established 可 选项 ， 也 无 法 完全 控制 通信 


当然 ， 出 于 对 成 本 的 考虑 或 者 设备 日 映 的 原因 ， 有 了 时候 我 们 也 不 得 不 使 
0 这 时 候 一 定 要 清醒 地 认识 到 在 数据 安全 上 它 极 易 受 到 亚 
意 攻 击 这 一 点 。 


3.1.2.3” ”防火墙 在 不 断 进 步 


防火 墙 是 一 种 以 现在 进行 时 的 节奏 不 断 发 展 和 进步 的 设备 。 过 去 有 很 多 
防御 功能 必须 借助 于 专用 设备 才能 实现 ， 而 如 今 的 防火 墙 不 仅 能 包揽 这 
些 功 能 ， 还 能 将 防守 范围 扩大 到 应 用 程序 的 层面 。 面 对 日 区 复杂 的 网 络 
安全 威胁 ， 防 火 墙 越发 能 够 灵活 地 应 对 ， 充 分 发 挥 它 巨大 的 作用 。 


下 和 面 ， 本 书 将 从 两 个 方面 来 讲解 防火 墙 技 术 的 进步 。 一 个 是 “功能 的 完 
善 ?， 另 一 个 是 “防守 范围 的 扩大 ”。 


UTM 集 多 种 功能 于 一 映 


其 中 一 项 进步 叫 作 UTM (Unified Threat Management， 统 一 威胁 管 

理 ) 。 简 单 地 说 ，UTM 就 是 一 种 万 能 的 设备 ， 只 要 拥有 一 台 UTM， 那 
么 除了 通信 控制 之 外 ，VPN (Virtual Private Network， 虚 拟 专用 网 

络 ) 、IDS (Intrusion Detection System， 入 侵 检 测 系 统 ) /IPS (Intrusion 
Prevention System， 入 侵 防御 系统 ) 、 反 病毒 、 反 垃圾 邮件 和 内 容 过 滤 
等 功能 就 一 应 俱全 了 。 以 往 人 们 必须 借助 专用 设备 才能 实现 各 种 不 同 的 
防御 功能 ， 现 在 却 只 要 一 人 台 设 备 就 足够 了 ， 于 是 设备 成 本 和 管理 成 本 大 
大 降低 ，UTM 也 因此 获得 了 迅速 的 普及 。 


IDS/IPS 反 焉 琢 邮件 
全 装置 装置 


IDS/IPS 
压 团 



























UTM ( Unified Threat Management ) 


图 3.1.34 UTM 集 多 种 功能 于 一 身 


那么 ， 在 这 里 我 们 就 对 UTM 中 的 各 种 功能 做 一 个 大 致 的 说 明 ， 只 是 扼 
和 


。 VPN 


VPN 是 能 够 在 互联 网 上 建立 加 密 的 虚拟 专线 ， 连 接 诸多 站 点 和 用 
户 的 功能 。 它 大 致 可 分 成 两 类 ， 一 类 是 点 对 点 YPN， 男 一 类 则 是 
远程 访问 VPN。 


扩 对 扩 VPN 是 将 诸多 站 点 连接 起 来 的 一 种 VPN。 以 往 人 们 是 用 一 
对 一 的 专用 布线 去 连接 站 点 的 ， 这 种 方法 的 确 比 较 安 全 也 容易 理 
解 。 然 而 随 着 距离 的 增加 ， 也 要 增加 支出 的 费用 ， 而 且 费 用 还 极其 
局 郧 ， 这 个 不 利 因素 太 大 了 ， 于 是 点 对 皮 VPN 应 运 而 生 。 点 对 点 
VPN 在 互联 网 上 建立 虚拟 的 专用 线路 ， 能 像 实体 专线 一 样 将 站 点 














连接 起 来 ， 却 只 需要 人 们 承担 普通 的 互联 网 上 网 费 而 已 ， 因 此 大 大 
降低 了 成 本 。 


在 UTM 之 闻 建 立 
一 亲 卉 简 的 专 开 





扩 得 承担 互 因 网 上 网 费 ， 驶 能 
党 东 角 的 站 点 尝 接 起 案 


图 3.1.35 ”点 对 点 VPN 将 站 点 连接 起 来 


远程 访问 VPN 用 于 移动 用 户 的 远程 访问 。 随 着 时 代 的 进步 ， 人 们 
的 工作 方式 也 发 生 了 变化 。 想 象 一 下 ， 员 工 因 公 外 出 时 ， 在 结束 工 
作 之 后 特意 返回 公司 继续 干 活 有 意义 吗 ? 效率 只 会 更 低 吧 ? 这 时 候 
如 果 使 用 远程 访问 VPN， 通 过 VPN 软件 连接 到 公司 网 络 ， 员 工 就 
能 像 自 己 在 公司 里 一 样 正常 工作 了 。 远 程 访问 VPN 大 致 可 分 为 

IPsec VPN 和 SSL-VPN 两 种 ， 以 往 IPsec VPN 是 主流 ， 但 由 于 和 
NAPT 环境 之 间 存 在 一 定 冲 突 而 且 无 法 用 于 有 代理 服务 器 的 环境 ， 











现在 已 经 在 逐步 被 SSL-VPN 所 取代 。 





图 3.1.36 ”远程 访问 VPN 可 以 从 咖啡 馆 或 自己 家 里 连接 到 工作 网 
络 环境 


IDS/IPS 


IDS/IPS 是 通过 观察 通信 情况 检测 出 是 否 有 入 侵 或 攻击 行为 ， 或 是 
对 入 侵 和 攻击 进行 防御 的 一 种 功能 。IDS 只 能 检测 ，IPS 则 兼 具 检 
测 和 防御 的 双重 功能 。 


IDS/IPS 以 一 种 叫 作 签名 的 形式 保存 着 所 有 可 疑 的 通信 类 型 ， 签 名 
相当 于 防 病毒 软件 中 的 病毒 码 文件 ， 通 过 自动 或 手动 更 新 。 
IDS/IPS 将 实际 的 通信 和 签名 进行 对 照 以 检测 和 防御 入 侵 。 最 近 ， 
网 络 攻 击 的 手段 越 来 越 复杂 ， 很 难 机械 性 地 判断 对 象 是 否 真 的 在 企 
图 入 侵 。 日 本 大 多 是 先 用 IDS 检测 一 这， 然后 视 具体 情况 交 给 IPS 
去 阻 断 攻击 。IDS/IPS 的 运行 管理 极其 重要 ， 我 们 不 能 实施 之 后 就 

















高 枕 无 忧 ， 而 一 定 要 根据 实际 环境 情况 对 设置 进行 定制 处 理 。 





图 3.1.37 IPS 能 阻 断 攻 击 
反 病 毒 


反 病 毒 是 一 种 对 抗 病毒 的 功能 ， 和 IDS/IPS 同样 是 基于 签名 运作 
的 。 它 将 收 到 的 通信 在 UTM 内 部 和 签名 进行 对 照 并 处 理 。 签 名 可 
能 是 自动 更 新 ， 也 可 能 是 手动 更 新 。 


在 实施 UTM 时 第 第 有 管理 人 员 问 “有 了 这 个 我 们 就 不 需要 防 病毒 软 
件 了 吧 ? ”回答 是 否定 的 ， 因 为 UTM 仅 对 经 过 它 的 通信 进行 监控 。 
举 个 例子 ， 妆 我 们 在 自己 家 里 或 公用 无 线 LAN 环境 中 将 已 受到 病 
毒 感染 的 PC 连 到 公司 内 部 LAN 的 时 候 ，UTM 是 起 不 了 任何 作用 
的 。 数 据 安全 必须 采取 多 层 防御 的 方式 ， 这 是 一 个 基本 原则 ， 所 以 
我 们 万 万 不 可 掉以轻心 ， 要 对 接 吐 而 至 的 网 络 威胁 严阵以待 才 行 。 








这 里 保存 着 各 种 
只要 社 合 其 中 其 个 病 诲 的 类 型 
类 加 就 将 其 阻 类 雪 据 诺 





图 3.1.38 ” 反 病 毒 功能 基于 签名 阻 断 病毒 
反 垃 圾 邮件 


反 垃 圾 邮件 是 一 种 对 抗 垃圾 邮件 的 功能 ， 是 基于 签名 和 信誉 运作 

的 。 签 名 和 反 病 毒 、IDS/PS 一 样 ， 是 一 个 相当 于 病毒 码 文 件 的 资 
料 库 。 反 垃圾 邮件 功能 会 根据 邮件 中 所 含 的 网 址 、 图 像 、 用 语 等 各 
种 要 素 去 判断 该 邮件 是 否 为 垃圾 邮件 。 信 誉 指 的 是 根据 邮件 源 IP 

地 址 去 判断 该 邮件 是 否 为 垃圾 邮件 的 一 种 技术 ， 该 技术 会 将 发 送 垃 
圾 邮件 的 邮件 服务 器 的 源 卫 地 址 保存 到 特定 的 数据 库 里 ， 一 有 需 
要 就 对 照 该 数据 库 来 判断 对 象 是 否 为 垃圾 邮件 。 











对 反 垃 圾 邮件 功能 来 次， 运行 管理 也 是 非常 关键 的 。 同 样 的 邮件 未 
必 对 所 有 人 来 说 都 是 垃圾 邮件 ， 在 茶 些 人 看 来 它 也 许 是 有 用 的 ， 但 
在 男 一 些 人 看 来 它 也 可 能 只 是 垃圾 。 考 虑 到 这 样 的 情况 ， 我 们 应 根 
据 不 同 的 环境 进行 适度 的 调整 。 


。 内 容 过 滤 


内 容 过 滤 是 一 种 限定 可 浏览 网 站 的 功能 。UTM 将 各 种 网 站 的 网 址 
分 门 别 类 《如 分 为 违法 性 、 犯 罪 性 较 高 的 网 站 ， 成 人 色情 网 站 ， 等 
等 ) ， 并 将 这 些 网 址 保存 在 特定 的 数据 库 中 。 过 小 时 ， 将 用 户 浏览 
的 网 址 和 数据 库 进行 对 照 ， 然 后 决定 对 该 网 站 是 允许 还 是 拒绝 。 


对 内 容 过 小 来 说 ， 运 行 管理 同样 也 至 关 重 要 。 同 样 的 网 站 未 必 对 所 
有 企业 来 说 都 是 无 用 的 ， 反 过 来 ， 也 未 必 都 是 有 用 的 。 因 此 ， 实 施 
这 项 功能 之 后 我 们 还 应 根据 不 同 的 环境 做 一 些 定制 处 理 。 








这 主 保 存 闭 竹 种 
只 要 符 台 鞭 中 某 个 re 
性 垃 级 邮件 的 源 jp 










图 3.1.39 反 垃 圾 邮件 功能 基于 签名 和 信誉 判断 对 象 是 否 为 垃圾 
邮件 





只 要 符合 其 中 其 个 
淹 址 就 阁 其 险 新 





图 3.1.40 ”使 用 内 容 过 渡 功 能 限定 可 以 浏览 的 网 站 
新 一 代 防 火 增 能 灵活 控制 应 用 程序 并 使 其 可 视 化 


还 有 一 项 拉 术 进步 ， 就 是 新 一 代 防 火 墙 。 新 一 代 防 火 墙 大 多 具备 UTM 
功能 ， 所 以 也 可 以 说 它 是 UTM 发 展 进步 的 一 个 结果 。 新 一 代 防 火场 有 
两 个 特点 ， 一 个 是 能 够 识别 应 用 程序 ， 为 一 个 是 可 视 化 。 


。 识别 应 用 程序 


新 一 代 防 火 墙 不 是 将 端口 号 当 作 应 用 程序 进行 识别 ， 而 是 根据 多 个 
要 素 去 识别 应 用 程序 并 建立 过 滤 规 则 。 应 用 程序 正在 变 得 越 来 越 复 
杂 。 以 HTTP 为 例 ， 如 今 ，HTTP 早已 不 局 限于 网 站 浏览 ， 而 是 在 
收发 文件 和 实时 交换 信息 等 方面 也 发 挥 着 作用 。 于 是 人 们 不 再 只 单 
纯 地 将 TCP/80 当 作 HTTP 去 分 门 别 类 ， 而 是 根据 网 址 、 内 容 信 
上 忠 、 文 件 后 级 等 多 种 信息 对 应 用 程序 进行 更 加 深层 的 细 分 。 举 个 例 
子 ， 以 往 只 要 人 允许 HITP， 我 们 残 能 够 浏览 Facebook、Twitter 这 些 
网 站 了 ， 然 而 在 新 一 代 防 火 墙 中 ， 即 便 是 同一 个 HTTP 通信 ， 我 们 
也 可 以 根据 实际 需要 人 允许 Facebook 但 拒绝 Twitter， 像 这 样 基 于 应 
用 程序 对 它们 分 别 进行 控制 。 























其 于 应 用 程序 。。 上 上 -过 波 规 | © 你 
分 别 进 行 从 制 ~ Facetook | 多 许 上 ER 
拍 绝 


Twitter 





也 联网 






图 3.1.41 新 一 代 防 火 墙 能 够 更 加 深入 地 识别 应 用 程序 
可 视 化 


新 一 代 防 火 墙 的 力 一 个 特点 是 通信 的 可 视 化 。 对 管理 人 员 来 说 ， 谁 
在 使 用 什么 应 用 程序 、 使 用 的 频率 有 多 高 ， 这 些 都 是 非常 重要 的 信 
恩 。 新 一 代 防 火 墙 能 够 将 识别 出 来 的 通信 和 制 成 图 表 并 显示 出 来 ， 看 
起 来 一 目 了 然 。 也 许 有 的 人 会 想 ， 可 视 化 就 这 么 点 作用 啊 ? 可 别 小 
看 它 ， 实 际 上 这 点 作用 能 帮 上 我 们 的 大 忙 。 作 为 一 项 管理 作业 ， 获 
取 大 量 的 统计 信息 并 将 它们 整理 成 Excel 表 其 实 比 我 们 想象 的 要 麻 
烦 许 多 ， 而 且 手工 去 做 的 话 往往 只 能 得 到 并 不 完美 的 图 表 ， 利 用 可 
视 化 功能 则 能 够 为 我 们 省 去 这 些 日 常 性 的 管理 工作 ， 物 有 上 所 值 。 


防火 墙 这 一 行业 的 发 展 还 处 于 摸索 时 期 ， 目 前 多 少 有 些 混沌 无 序 ， 
但 笔者 相信 最 合理 的 状态 一 定 会 在 某 个 阶段 出 现 。 所 以 ， 现 阶段 我 
们 一 定 要 在 弄 清 需要 防火 墙 的 哪些 功能 、 又 应 如 何 使 用 这 些 功能 之 
后 ， 再 去 做 出 选择 。 


3.1.3 ”通过 负载 均衡 器 分 散 服 务 占 的 负 血 


下 面 介 绍 在 传输 层 运作 的 另 一 种 设备 一 一 负载 均衡 器 。 负 载 均衡 器 是 一 
种 利用 网 络 层 (IP 地 址 ) 和 传输 层 〈 端 口号 ) 的 信息 为 多 台 服 务 器 分 配 
连接 的 设备 。 负 载 均衡 器 上 设 有 虚拟 服务 器 ， 虚 拟 服务 器 收 到 连接 后 按 
和 
内 何 。 


3.1.3.1 目的 NAT 是 服务 器 负载 均衡 拉 术 的 基础 


























目的 NAT 是 服务 器 负载 均衡 技术 的 基础 。 首 先 ， 我 们 就 来 看 看 目的 
NAT 是 如 何 实 现 的 。 


目的 NAT 是 根据 连接 表 中 的 信息 执行 的 ， 这 个 连接 表 和 用 于 防火 墙 的 
连接 表 在 要 素 上 有 些 不 太一 样 。 用 于 负载 均衡 器 的 连接 表 由 “ 源 全 地 

址 :端口 号“ 虚拟 IP 地 址 (转换 之 前 的 PP 地址) : 端口 号 “实际 全 x 地 
址 (转换 之 后 的 了 PP 地址 ): 端口 号 ?和 “协议 ”等 信息 构成 ， 查 询 该 表 就 
能 知道 什么 样 的 通信 会 被 分 散 到 哪 台 服务 器 上 去 。 
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将 负荷 到 三 台 
be 





Web 服务 器 人 @) 


192.168. 1.2 


图 3.1.42 有 助 于 我 们 了 解 服务 器 负载 均衡 技术 的 结构 实例 
1 -~ 负载 均衡 右 通 过 虚拟 服务 器 收 到 客户 端的 连接 。 这 时 候 目 的 卫 





地 址 是 虚拟 服务 器 的 人 P 地 址 ， 也 就 是 虚拟 的 耻 地 址 。 收 到 的 这 个 链接 
在 连接 表 中 进行 管理 。 


吾 阿 网 


| | 
EtT60000 |333380| | cp | 
2:2:2.2:51000 [3.3.33:60] Tc | 










192.168. 1.1 192.168 12 192.168. 1.3 


EE 


图 3.1.43 ”客户 端 访问 虚拟 服务 此 


2 -负载 均衡 器 将 目的 全 地 址 (虚拟 了 P 地址 ) 转换 为 与 之 对 应 的 负 
载 均衡 服务 器 的 实际 卫 地 址 。 转 换 的 实际 IP 地 址 能 够 基于 服务 器 状 
态 、 连 接 状 态 等 各 种 因素 动态 地 改变 ， 因 此 连接 得 以 分 散 到 各 处 。 转 换 
之 后 的 实际 人 P 地 址 也 会 被 写 入 连接 表 ， 在 连接 表 中 接受 管理 。 








Ey a 
3.33.3:80] 
22.22:51000 | 33.3.3:80 192.168.13:80 | 


































| 源 | 户 | 天 的 失 ”| “ 帝 英 GE ”| 目的 淇 说 | 洒 P | 自 的 户 ” | 洲 洲 ”| 自 的 棋 呈 | 
| T1411 [eanesmt| 50000 | 80 | eveoovvvo， | 2222 |192168 3| si00 | B | 






Ep 


192.168.1.1 192.168, 1.2 192168.13 ; 


.» 
ETEEEEEEEEEE EE 


图 3.1.44 ”负载 均衡 器 将 虚拟 的 目的 IP 转换 为 实际 的 IP 地 址 


3 - 接 下 来 我 们 再 看 返回 的 通信 。 服 务 器 收 到 连接 后 对 其 进行 应 用 处 
理 ， 然 后 会 将 处 理 结果 返回 给 已 成 为 默认 网 天 的 负载 均衡 器 。 这 里 负载 
均衡 器 要 做 一 个 和 发 送 时 恰好 相反 的 转换 处 理 ， 也 就 是 要 对 源 IP 地 址 
(前 面 是 针对 目的 地 址 〉 执行 NAT 处 理 。 负 载 均衡 器 在 连接 表 中 管理 

发 送 通 信 的 信息 ， 并 根据 该 信息 向 客户 端 返回 通信 。 





192.165.1.1:90 
22272:51000 |3.33.3:80|192168.13:30 
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EE 


图 3.1.45 给 负载 均衡 器 
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图 3.1.46 参照 连接 表 转 换 源 IP 
3.1.3.2 ”通过 健康 检查 监控 服务 器 的 状态 


转换 的 实际 卫 地 址 取决 于 两 个 因素 ， 一 个 是 健康 检查 ， 另 一 个 是 负载 
均衡 方式 。 我 们 就 是 要 利用 这 两 项 功能 ， 来 决定 将 虚拟 IP 地 址 转换 成 
哪个 真实 的 IP 地 址 。 


三 种 健康 检查 监控 服务 吉 


健康 检查 这 种 功能 用 来 监控 负载 均衡 服务 占 的 状态 。 我 们 知道 ， 将 
连接 分 配给 已 经 宕 机 的 服务 器 是 没有 意义 的 ， 它 不 会 给 出 任何 啊 
应 。 为 了 避免 出 现 这 种 守 无 意义 的 局 面 ， 负 载 均衡 器 会 通过 监控 报 
文 定期 检查 服务 器 是 否 正常 运作 ， 一 旦 测 出 宕 机 ， 束 会 将 该 服务 器 
排除 到 负载 均衡 对 象 之 外 。 有 些 生 产 商 称 之 为 “健康 监控 ”或 “( 服 


务 器 探测 ”什么 的 ， 痢 是 指 同一 种 功能 。 健 康 检查 大 致 可 分 为 L3 
检查 、L4 检查 和 1L7 检查 三 种 ， 分 别 是 针对 不 同 的 层 实施 检查 。 


。L3 检查 











L3 检查 通过 ICMP 来 检查 IP 地 址 是 否 正常 。 假 设 未 做 元 余 配 置 的 
NIC 出 现 了 故障 或 者 缆 线 及 生 断 离 ， 服 务 器 就 无 法 返回 ICMP 包 ， 
这 时 候 负 载 均衡 峰会 将 该 服务 器 隅 离 到 负载 均衡 对 象 之 外 。 如 果 
L3 检查 未 能 过 关 ，L4 以 上 的 所 有 服务 就 无 法 提供 ， 因 此 ，L4 检查 
和 LL7 检查 也 将 无 法 过 天。 





EEE 


; 未 对 NIG 向 宛 今 本 在 
汪 NIC 人 NIC 





Web 服务 句 : Web 侨务 如 





图 3.1.47 L3 检查 是 针对 IP 地 址 的 检查 
。L4 检查 


L4 检查 通过 三 次 握手 来 检查 端口 号 是 否 正 常 。 假 设 在 Web 服务 器 
中 默认 使 用 的 是 TCP/80 端口 ， 负 和 载 均衡 器 会 对 该 端口 定期 执行 三 
次 握手 以 确认 响应 的 情况 。 如 果 IIS 或 Apache 的 进程 中 断 ， 
TCP/80 的 响应 就 会 中 断 ， 这 时 负载 均 衔 器 会 将 该 服务 器 隔离 到 负 
载 均衡 对 象 之 外 。 应 用 程序 是 在 服务 器 进程 上 工作 的 ， 因 此 ， 如 果 
L4 检查 未 能 过 关 ， 那 么 L7 检查 也 将 无 法 过 关 。 











图 3.1.48 L4 检查 是 针对 端口 号 的 检查 
。1L7 检查 


L7 检查 中 的 L7 指 的 是 第 七 层 ， 也 就 是 应 用 层 。L7 检查 通过 真实 

的 应 用 通信 来 检查 应 用 程序 是 否 正 常 。 例 如 ， 网 络 应 用 程序 的 状态 
是 以 状态 码 的 形式 返回 的 ， 负 载 均衡 器 监控 的 就 是 这 个 状态 码 。 网 
络 应 用 程序 如 果 出 现 故障 ， 束 会 返回 一 个 表示 异常 情况 的 状态 码 ， 

这 时 负载 均衡 器 就 会 将 该 服务 器 隔离 到 负载 均衡 对 象 之 外 。 


负 丢 均衡 装 政 
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图 3.1.49 L7 检查 是 针对 应 用 程序 的 检查 


要 根据 应 用 程序 和 服务 器 规格 变换 负载 均衡 方式 


负载 均衡 方式 指 的 是 “参考 什么 信息 ， 将 负 蓓 分 散 到 哪些 服务 器 上 去 ”。 
负载 均衡 方式 不 同 ， 通 过 目的 NAT 转换 的 目的 卫 地 址 也 就 不 同 。 


负载 均衡 方式 大 致 可 以 分 为 静态 和 动态 两 种 。 静 态 负载 均衡 方式 根据 预 
先 的 设置 来 决定 将 负荷 分 散 到 哪些 服务 器 上 去 ， 并 不 关心 服务 器 的 实际 
状况 如 何 ; 动态 负载 均衡 方式 则 根据 服务 器 的 实际 状况 决定 将 负荷 分 散 
到 哪些 服务 器 上 去 。 实 际 上 ， 人 负载 均衡 方式 有 更 多 更 细 的 分 类 ， 适 用 于 
各 种 不 同 的 设备 ， 不 过 本 书 仅 介 绍 它们 当中 有 具有 代表 性 的 两 个 细 化 分 


类 


表 3.1.6 负载 均衡 方式 分 为 静态 和 动态 两 种 


按照 顺序 分 散 负 荷 
加 权 和 比例 根据 加 权 和 比例 分 散 负荷 

最 少 连 接 数 将 负荷 分 散 给 连接 数 最 少 的 服务 器 
最 短 响应 时 间 将 负荷 分 散 给 响应 速度 最 快 的 服务 器 
































动态 








。 轮 询 


轮 询 方式 将 收 到 的 请 求 (Request) 按照 顺序 分 配给 负载 均衡 服务 
髓 ， 属 于 静态 负载 均衡 方式 。 具 体 说 来 就 是 依次 分 配给 服务 器 \D)、 
服务 器 名 、 服 务 器 G)..……… 原 理 非 常 简 单 ， 所 以 人 们 容易 预测 到 下 一 
个 连接 ， 管 理 起 来 也 很 方便 。 当 负载 均衡 服务 器 的 规格 都 一 样 并 且 
每 次 处 理 的 时 间 都 较 短 时 ， 轮 询 方式 是 极 有 用 武之 地 的 。 然 而 如 宋 
不 是 这 样 的 环境 ， 比 如 服务 器 的 规格 参差 不 章 ， 或 者 该 环境 需要 能 
够 保持 会 话 〈 会 话 保 持 功 能 ) ， 那 我 们 就 不 能 不 假 思 索 地 分 配 连接 
了 ， 人 否则 负载 均衡 的 效率 会 非常 粮 糕 ， 这 一 点 一 定 要 注意 。 
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时 该 方式 非常 有 效 





图 3.1.50 ” 轮 询 方 式 是 按照 顺序 分 配 
加 权 和 比例 


加 权 和 比例 方式 预先 给 每 台 服 务 占 设置 好 比例 ， 然 后 根据 整体 的 比 
例 情 况 分 配 连接 ， 属 于 静态 负载 均衡 方式 。 采 用 轮 询 方式 时 ， 服 务 
人 站 和 攻 全 证 有 全 和 和 全， 而 帮 屋 相 在 仙 训 要 风 二 和 姑 全 构 
人 将 规格 较 低 的 服务 器 设置 为 低 比 例 ， 
结果 是 比例 较 高 的 服务 器 能 够 优先 获得 连接 分 配 。 在 全 各 均衡 服 务 


器 规格 参差 不 齐 的 环境 里 ， 这 种 方式 能 够 发 挥 较 大 的 作用 。 


加 权 和 比例 方式 常常 作为 各 种 负载 均衡 方式 的 一 个 可 选项 出 现 ， 当 
环境 中 的 服务 器 规格 参差 不 齐 时 ， 人 们 往往 将 它 和 其 他 负载 均衡 方 
式 一 起 使 用 以 达到 最 佳 效 果 。 
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图 3.1.51 根据 比例 分 配 
。 最 少 连 接 数 


最 少 连接 数 方式 将 连接 分 配给 当前 联机 数量 最 少 的 服务 器 ， 属 于 动 
态 负载 均衡 方式 。 采 用 这 种 方式 时 ， 负 载 均衡 器 会 监测 负载 均衡 服 
务 器 的 联机 数量 ， 选 择 收 到 连接 时 联机 数量 最 少 的 ， 也 就 是 处 理 负 
符 最 小 的 那 台 服务 器 ， 然 后 将 连接 分 配给 它 。 


在 下 面 这 两 种 环境 中 进行 负载 均衡 时 ， 采 用 这 种 方式 非常 有 效 : 应 
用 程序 为 需要 长 时 间 联 机 的 HITP/1.1 或 FTP 等 ， 要 保持 会 话 〈 使 
用 会 语 保持 功能 以 保证 在 一 定时 间 内 一 直 向 同一 台 服 务 器 传送 信 
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图 3.1.52 ”分 配 时 考虑 连接 数 是 否 均衡 ， 使 各 合 服务 器 的 连接 数 


趋同 一 致 
。 最 短 啊 应 时 间 


最 短 啊 应 时 间 方式 将 连接 分 配给 啊 应 最 快 的 服务 器 ， 属 于 动态 负载 
均衡 方式 。 无 论 是 什么 服务 器 ， 一 旦 无 法 处 理 全 量 信 息 ， 反 应 就 会 
变 得 迟钝 ， 最 短 响应 时 间 方式 利用 的 就 是 这 个 原理 。 采 用 这 种 方式 
时 ， 负 载 均 衡器 会 根据 客户 端的 请 求 和 服务 器 的 回复 去 检查 服务 如 
的 啊 应 时 间 ， 选 择 收 到 连接 时 咽 应 最 快 的 那 台 服务 器 ， 然 后 将 连接 
分 配给 它 。 由 于 这 种 方式 能 够 根据 服务 器 的 处 理 负 茵 进行 合理 的 负 
载 均衡 ， 所 以 在 服务 器 规格 参差 不 齐 的 环境 中 非常 有 效 。 
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图 3.1.53 ”将 连接 分 配给 啊 应 速度 最 快 的 服务 器 
通过 会 话 保持 将 会 话 持续 分 配给 同一 台 服 务 器 
入 
Zs 


话 保持 功能 将 应 用 程序 的 同一 会 话 持续 分 配给 同一 台 服 务 器 。 也 许 你 
会 想 ， 既 然 是 一 种 负载 均衡 技术 ， 那 为 什么 会 持续 分 配给 同一 合 服务 器 
呢 ? 这 不 矛盾 吗 ? 事实 上 ， 从 全 局 出 发 来 看 ， 这 种 方式 的 确 能 够 起 到 均 
衡 负载 的 作用 。 


对 东 些 应 用 程序 来 说 ， 如 条 不 将 一 系列 的 处 理 都 放 在 同一 合 服务 器 中 进 
行 ， 就 无 法 保证 该 处 理 能 够 前 后 呼应 ， 购 物 网 站 就 是 一 个 很 好 的 例子 。 
在 购物 网 站 , “ 放 入 购物 车 交付 区 ”这 一 系列 的 处 理 必 须 在 同一 全 服务 露 
上 进行 ， 不 可 能 在 服务 器 中 中 将 商品 放 入 购物 车 却 在 服务 器 @ 中 付款 。 
如 果 “ 放 入 购物 车 ”是 在 服务 器 中 中 处 理 的 ， 那 么 付款 也 必须 仍 在 服务 器 
QD 中 处 理 。 这 时 候 就 要 求 我 们 使 用 会 话 保持 功能 ， 它 能 根据 特定 的 信息 
将 会 话 持 续 分 配给 同一 台 服 务 嚣 ， 使 * 放 入 购物 车 "和 “ 付 球 ” 这 一 系列 的 
处 理 都 能 在 同一 台 服 务 器 中 完成 。 


支持 会 话 保持 功能 的 后 台 是 会 话 保持 表 ”。 会 话 保持 表 记 录 着 连接 中 的 
特定 信息 以 及 分 配 的 服务 器 ， 使 得 后 续 的 连接 能 够 依然 分 配给 同一 台 服 
务 嚣 。 会 话 保持 表 中 记录 的 信息 多 种 多 样 ， 具 体 记录 什么 信息 则 取决 于 
记录 方式 。 下 面 ， 本 书 就 介绍 两 种 比较 常用 的 会 话 保持 功能 。 


3 有 些 设 备 并 不 是 通过 会 话 保持 表 去 处 理 Cookie 会 话 保持 (Insert 模式 ) 的 ， 请 仔细 确认 设备 
的 设计 规格 。 
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[cus 
图 3.1.54 ”通过 会 话 保持 将 会 话 持续 分 配给 同一 台 服务 器 


。 源 IP 地 址 会 话 保持 





正如 其 名 ， 源 IP 地址 会 话 保持 是 一 种 基于 源 卫 地 址 将 会 话 持续 分 
配给 同一 台 服 务 器 的 会 话 保持 。 这 个 应 该 很 容易 理解 ， 例 如 ， 当 源 
IP 地 址 是 1.1.1.1 时 将 会 话 持续 分 配给 服务 器 中 ， 当 源 IP 地 址 是 

2.2.2.2 时 将 会 话 持续 分 配给 服务 器 他 。 如 果 对 方 是 在 互联 网 上 公开 
的 虚拟 服务 器 ， 那 么 ， 由 于 连接 的 源 卫 地 址 是 全 世界 的 全 球 了 地 
址 ， 所 以 从 全 局 上 看 它 的 确 能 够 起 到 分 散 负荷 的 作用 。 我 们 设置 分 
配 持续 时 间 时 应 考虑 应 用 程序 的 时 效 ， 一 般 来 说 ， 设 置 得 比 应 用 程 


序 的 时 效 稍微 长 一 点 就 能 保证 处 理 能 够 前 后 呼应 、 协 调 一 致 。 


互联 网 



















a 


192.168. 1.1 192.168; 1.2 192.168: 1.3 


ET 


图 3.1.55 ”如 泉源 IP 地 址 相同 ， 束 将 会 话 分 配给 相同 的 服务 器 


源 人 PP 地 址 会 话 保持 非常 容易 理解 ， 管 理 起 来 也 十 分 方便 。 然 而 ， 

它 有 一 个 足以 致命 的 弱点 ， 那 就 是 在 多 个 客户 端 共用 一 个 源 卫 地 
址 的 环境 (如 NAPT 环境 或 代理 环境 等 ) 中 无 法 分 散 负 和 荷 。 假 设 某 
个 NAPT 环境 拥有 1000 全 客户 端 ， 那 么 这 1000 合 客 户 端的 负 衍 都 
会 被 分 配给 同一 台 服 务 器 ， 这 样 的 话 负 和 载 均衡 根本 无 从 谈 起 。 源 IP 
地 址 会 话 保持 对 环境 是 非常 挑剔 的 ， 因 此 我 们 一 定 要 仔细 确认 连接 











环境 之 后 再 去 决定 是 否 使 用 。 
Cookie 会 话 保持 (Insert 模式 ) 


Cookie 会 话 保 持 (Insert 模式 ) 是 基于 Cookie 的 信息 将 负 蓓 持续 分 
配给 同一 台 服 务 器 的 会 话 保持 ， 仅 在 使 用 HTTP 或 SSL 加 速 的 
HTTPS 环境 中 有 效 。 


Cookie 指 的 是 通过 与 HITP 服务 器 之 间 的 通信 ， 将 特定 信息 暂时 保 
存 到 浏览 器 中 的 一 种 机 制 ， 同 时 也 指 保存 这 些 信 息 的 文件 。 每 个 

FQDN (Fully Qualified Domain Name， 完 全 合格 域名 ) 都 拥有 相应 
的 Cookie。 最 开始 的 HTTP 回复 决定 了 将 负荷 分 配给 哪 台 服务 器 ， 
这 些 信息 就 包含 在 Cookie 之 中 ， 由 负载 均衡 器 交 给 客户 端 4。 由 

于 后 续 的 HTTP 请 求 中 都 带 有 Cookie， 所 以 负载 均衡 器 查看 这 些 

Cookie 信息 就 能 将 负 答 持续 分 配给 同一 台 服 务 器 。 
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;| Web 服务 器 中 Web 服务 器 他 VVeb 服务 器 @) 
E 192.168. 1.1 192.168. 1.2 192.168. 1.3 


图 3.1.56 最 开始 的 请 求 和 往常 一 样 被 分 散 出 去 











Web 服务 器 人 z Web 服务 器 (2) Web 服务 器 (3) 


192.168.1.1 192.168. 1.2 192.168. 1.3 
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图 3.1.57 在 最 开始 的 回复 中 站 入 Cookie 


Cookie 会 话 保 持 远 比 源 IP 地 址 会 话 保持 灵活 ， 人 然而 它 也 有 不 足 之 
处 。 首 先 浏览 器 必须 能 够 接受 Cookie， 其 次 还 需要 在 应 用 程序 的 层 
面 执行 一 个 添加 Cookie 的 处 理 ， 而 这 些 也 会 生成 一 定 的 处 理 负 


位。 
所 以 ， 无 论 末 用 哪 种 会 话 你 持 痢 是 优 缺 点 并 存 的 。 我 们 在 选择 的 时 


候 应 从 应 用 程序 的 设计 、 浏 览 絮 环境 和 客户 端 连 接 坏 境 等 多 个 角度 
去 考 罕 具体 情况 ， 然 后 再 做 出 判断 。 
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192.168.1.1 192.168, 1.2 192.168. 1.3 


图 3.1.58 ”后 续 的 请 求 中 都 带 有 Cookie 
| 4 实际 上 是 将 这 些 信息 作为 HTTP 报头 插入 。 
3.1.3.3 ”熟练 掌握 可 选 功能 
最 近 ， 负 载 均 衡器 的 使 用 范围 逐渐 延伸 到 了 应 用 层 ， 其 本 身 也 作为 “应 
用 交付 控制 器 ?获得 了 人 们 的 广泛 认可 。 在 它 背 后 起 着 支撑 作用 的 并 不 


是 负载 均衡 技术 本 里 ， 而 是 丰富 多 彩 的 可 选 功能 ， 本 书 将 从 中 选 出 三 项 
来 进行 说 明 ， 分 别 是 SSL 加 速 功 能 、HTTP 压缩 功能 和 连接 汇集 功能 。 


SSL 加 速 功能 可 代为 执行 SSL 处 理 


SSL 加 速 是 一 种 帮助 服务 器 分 > 散 SSL (Secure Socket Layer， 安全 套 接 
层 ) 处 理 负 和 荷 的 功能 。SSL 是 一 种 实现 加 密 和 解密 的 技术 ， 能 防止 通信 
被 算 改 或 者 遭遇 昌 窗 听 ， 


为 了 给 通信 加 密 或 解密 ，SSL 中 进行 着 大 量 的 处 理 ” ， 这 些 也 都 会 成 为 
服务 占 的 负 人 三 ， 于 是 人 们 想到 了 让 负载 均衡 器 去 直接 执行 这 些 处 理 的 办 
法 。 客 户 端 只 需 像 往常 一 样 通过 HTTPS (HTTP over SSL， 安 全 超 文本 
传输 协议 ) 发 出 请 求 即 可 5。 负载 均衡 器 收 到 请 求 之 后 在 前 端 执 行 SSL 
处 理 ， 将 信息 作为 HTTP 交 给 位 于 后 端的 负载 均衡 服务 器 。 这 样 服务 器 
就 不 再 需要 执行 SSL 处 理 了 ， 人 负 答 得 以 大 大 减轻 ， 于 是 在 全 局 上 实现 

了 负载 均衡 。 


| ”关于 SSL 的 内 容 将 在 3.2.2 节 中 详细 解说 。 





| 6 HTTPS 指 的 是 经 过 SSL 加 密 的 HTTP。 
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不 使 用 SSL 加 湾 协 能 


;SSL 处 理 步 会 
戒 为 全 桩 
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使 月 SSL 加 述 功 能 





图 3.1.59 SSL 加 速 功能 可 代为 执行 SSL 处 理 
通过 HTTP 压缩 功能 有 效 地 利用 带宽 


HTTP 压缩 功能 是 指 由 负载 均衡 器 代 蔡 服务 器 进行 HTTP 压 纵 处 理 的 一 
项 功能 。HTTP 压缩 是 一 种 利用 HTTP 对 交换 的 内 容 进 行 压 缩 的 技术 ， 
可 以 实现 高 速 传送 和 低 带 宽 。 


HITP 是 一 种 非 对 称 通信 ， 来 目 服 务 喜 的 数据 量 要 比 来 自 客户 端的 数据 
量 多 。 负 载 均衡 器 将 来 自 服务 器 的 HITP 数据 压缩 之 后 交 给 客户 端 ， 压 
内 容 〈.html、.js、css 等 ) ， 以 使 压缩 效果 达 
到 最 大 化 。 
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负载 均衡 属 


全 


相 做 街 号 
Web 客户 洋 刍 苇 均衡 


[Web 尖 = 
4 < 
HTTP HTTP 
数 振 公交 小 压缩 功能 





另外 ， 我 们 也 可 以 在 服务 器 上 激活 HTTP 压缩 功能 ， 但 是 那样 就 会 成 为 
一 种 基于 软件 的 处 理 ， 可 能 会 给 CPU 带 来 较 大 的 负荷 。 负 载 均 衡器 的 
HITP 压缩 功能 能 够 减轻 该 处 理 负荷 ， 具 有 全 局 意义 上 的 负载 均衡 效 





果 。 
通过 连接 汇集 功能 减轻 服务 器 的 负 葆 


连接 汇集 是 通过 负载 均衡 器 将 连接 汇集 起 来 的 一 项 功能 ， 连 接 处 理 的 处 
理 儿 蓓 就 其 单 体 来 说 是 非常 小 的 ， 然 而 在 大 规模 网 站 它们 就 会 积 少 成 

多 ， 使 连接 处 理 本 丑 就 成 为 巨大 的 负 和 位。 于 是 ， 人 们 利用 负载 均衡 器 在 
前 端 对 客户 端 连接 进行 终结 处 理 。 这 时 候 ， 负 载 均 衡器 还 会 另 建 一 个 不 
同 于 服务 器 的 连接 ， 通 过 该 连接 发 送 请 求 。 这 样 ， 服 务 器 只 需要 保持 与 
负载 均衡 器 之 间 的 连接 即 可 ， 人 负荷 得 以 大 大 减轻 。 








ehhh hhh bebe ch hd hhh hh hd dd ehhh hhh hd 


; | 不 使 用 连接 汇 六 功能 








图 3.1.61 通过 连接 汇集 功能 减轻 连接 处 理 的 负 衍 


3.2 ”从 会 话 层 到 应 用 层 的 技术 


前 面 我 们 已 经 学 习 了 物理 层 到 传输 层 各 层 的 知识 ， 接 下 来 要 学 习 从 会 话 
层 到 应 用 层 的 内 容 了 。 这 些 层 和 从 应 用 程序 中 衍生 出 来 的 应 用 层 协 议 有 
大 休 威 与 共 的 关系 ， 本 书 将 从 网 络 这 个 角 反 逐一 讲解 比较 第 用 的 应 用 层 
协议 。 此 外 ， 本 市 并 不 涉及 用 于 运行 管理 的 协议 和 用 于 见 余 配置 的 协 
议 ， 这 两 种 协议 将 在 第 四 章 和 第 五 革 中 详细 说 明 。 











3.2.1 HTTP 支撑 着 互联 网 


在 诸多 应 用 协议 当中 ， 人 们 最 熟悉 的 应 该 束 是 HITP (Hypertext 
Transfer Protocol， 超 文本 传输 协议 ) 。 离 开 这 个 协议 互联 网 就 无 从 谈 
起 ， 可 以 这 么 说 ， 是 HTTP 让 互联 网 获得 了 焊 发 性 的 成 长 和 席卷 性 的 普 
Rs 





HTTP 原本 是 一 种 用 于 传输 文本 数据 的 协议 ， 然 而 如 今 它 早 已 突破 最 初 
的 定义 范畴 ， 在 收发 文件 和 实时 交换 消息 等 方面 也 发 挥 着 巨大 的 作用 。 


3.2.1.1 HTTP/1.0 和 HTTP/1.1 的 TCP 连接 用 法 大 相 径 庭 
从 网 络 这 个 角度 来 看 ，HTTP 最 关键 的 地 方 在 于 它 的 版 本 。 


当前 有 两 个 比较 常用 的 HTTP 版 本 ， 一 个 是 HITP/1.0， 另 一 个 是 
HTTP/1.1。 使 用 哪 一 个 版 本 取决 于 我 们 对 浏览 右 和 服务 喜 的 设置 。 最 近 
的 浏览 器 和 服务 器 均 默 认 使 用 HTTP/1.1 版 本 ， 这 使 得 HTTP/1.1 成 为 了 
主流 。 


这 两 个 版 本 的 TCP 连接 用 法 很 不 一 样 ， 极 大 地 影响 看 服务 器 的 负荷 程 
度 以 及 我 们 应 该 选用 的 设备 规格 ， 下 面 束 来 详细 介绍 一 下 。 


HTTP/1.0 为 每 个 请 求 建立 连接 


我 们 可 以 在 RFC1945 中 看 到 公开 的 HTTP/1.0 规格 。HTTP/1.0 为 每 个 请 
求 建立 TCP 连接 ， 请 求 回应 结束 之 后 再 将 其 断 开 ， 如 此 反复 。 举 个 例 
子 ， 如 果 某 个 网 站 由 10 条 内 容 构成 ，HTTP/1.0 就 会 建立 10 个 连接 ， 
将 每 条 内容 下 载 之 后 再 断 开 连接 ， 如 此 重复 多 次 。 当 客户 端 只 有 唯一 的 











一 个 时 ， 这 种 处 理 并 不 会 市 来 很 大 的 负荷 ; ee 骨 多 达 1000 个 
ee Lh 积 水 成 浏 、 聚 沙 成 塔 ， 这 样 下 去 最 终 会 给 


服务 器 带 来 巨大 的 处 理 负 和 荷 。 除 此 以 外 ， 我 们 还 需 要 连接 更 多 的 防火 墙 
和 负载 均衡 器 ， 作 业 量 只 会 有 增 无 减 。 





Internet 选项 








| 常规 | 安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 














记录 
口 启用 Javs 控制 台 (需要 重启 动 ) 

得 安全 

品 不 将 加 密 的 页 存盘 

回 对 证 书 地 址 不 匹配 发 出 警 肯 # 

口 关闭 浏览 器 时 清 室 Internet 临时 净 件 来 
回 检查 发 行商 的 证 书 是 否 吊销 

厂 ] 检 查 限 务 中 证 书 吊 锁 # 














| 
IE = | 
* 束 新 [ 局 动 Internet Explorer 之 后 生效 
还 原 高 级 设置 外 ) 


重 置 Internet Explorer 设置 
将 Internet Explorer 设置 重 叶 为 默认 设置 。 
避 在 浏览 器 处 于 无 法 使 用 的 状态 时 ， 才 使 用 此 设置 。 





[| 确定 ][ 取消 ] [应 用 &) | 
图 3.2.1 最 近 的 HTTP 设置 均 默 认 使 用 HTTP/1.1 版 本 





为 每 个 请 米 建 立 TCP 尖 接 ， 





续 玉 之 后 又 涤 其 煌 开 
一 c= findex-htmil 
Em 
3 me | 上 | 
齐 务 器 外 理 旬 入 药理 ， 
有 生 环 全 产生 并 错 


图 3.2.2 HTTP/1.0 反复 执行 建立 连接 和 断 开 连接 的 作业 
HTTP/1.1 将 连接 用 到 极致 


我 们 可 以 在 RFC2616 中 看 到 公开 的 HTTP/1.1 规格 。HTTP/1.1 是 
HTTP/1.0 的 升级 版 ， 里 面 有 很 多 设计 都 是 为 了 提高 HTTP 效率 而 开发 
出 来 的 ， 其 中 有 一 个 叫 作 持 久 连 接 ， 也 称 作 HTTP Keep- Alive。 持 久 连 
接 在 HTTP/1.0 中 还 只 不 过 是 一 项 扩展 功能 而 已 ， 但 在 HTTP/1.1 中 就 升 
级 成 了 标准 功能 。 持 和 久 连 接 是 将 建 好 的 连接 用 到 极致 的 一 种 功能 ， 它 会 
先 建立 一 个 TCP 连接 ， 然 后 在 这 个 连接 上 发 送 多 个 HITP 请 求 。 
HTTP/1.0 中 的 TCP 处 理 是 建立 连接 之 后 又 要 断 开 连接 ，HTTP/.1 则 气 
弃 了 这 一 规则 ， 大 大 减轻 了 服务 器 的 处 理 负 和 荷 。 与 此 同时 ， 还 避免 了 连 
接 更 多 的 防火 墙 和 负载 均衡 器 。 


可 以 同时 建立 的 TCP 连接 数 〈( 最 大 连接 数量 ) 取决 于 浏览 器 及 其 版 
本 。 如 果 使 用 Internet Explorer 浏览 器 ， 按 照 RFC 的 推荐 ，7 以 前 版 本 
的 TCP 连接 数 为 2，8 以 后 版 本 的 TCP 连接 数 则 升 为 6。 如果 使 用 火狐 
浏览 器 ， 则 TCP 连接 数 为 6。 





将 TGP 连接 findex. html 
imgt png 
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客户 同 Web 服 亲 器 有 2 RS 


( HTTP1.1) (HTTP1.1) 


图 3.2.3 HTTP/1.1 将 连接 用 到 极致 
3.2.1.2 ”HTTP 因 请 求 和 啊 应 而 得 以 成 江 


HTTP 是 一 种 客户 端 和 服务 器 之 间 的 交互 协议 ， 因 为 有 了 客户 端 (Web 
浏览 器 ) 的 HTTP 请求 和 服务 器 的 HTTP 响应 ，HTTP 才 得 以 成 立 。 客 
户 端 向 服务 器 发 出 HTTP 请 求 ， 例 如 要 求 对 方 将 某 某 文 件 发 过 来 或 者 通 
知 对 方 自己 要 将 某 某 文件 发 过 去 等 ， 服 务 器 收 到 请 求 后 会 进行 一 定 的 处 
理 ， 并 将 处 理 结果 用 HTTP 响应 返回 给 客户 端 。 


处 理 好 于 客户 氏 发 
出 的 HT 人 P 请 来 





















客户 端 一 Web 服务 器 
图 3.2.4 _ HTTP 是 一 种 客户 新 和 服务 器 之 间 的 交互 协议 
HTTP 消息 由 消息 头 和 消息 体 构 成 
HTTP 中 交换 的 HITP 消 恩 由 两 个 部 分 构成 ， 分 别 为 消 奶 涉 和 消 恩 




















消息 头 中 包含 着 
诸多 控制 信息 


消息 体 中 包含 着 
消息 的 正文 








图 3.2.5 HTTP 消息 由 消息 头 和 消息 体 构 成 


在 这 二 者 当中 ， 对 网 络 来 说 重要 的 是 消 轧 头 。 消 妃 头 中 包含 着 HTTP 交 
互 的 相关 控制 信息 ， 这 些 信 息 以 HTTP 报头 的 形式 分 成 几 行 来 记录 。 客 
户 端 和 服务 器 各 目 根 据 这 些 信 息 去 进行 压缩 处 理 、 持 久 连 接 或 者 识别 文 
件 种 类 。 下 面 ， 本 书 就 介绍 几 种 常见 的 HTTP 报头 。 


。 Connection 头 /Keep-Alive 头 


Connection 头 是 用 来 管理 持久 连接 的 HTTP 报头 。Web 浏览 右 通 过 
Connection:Keep-Alive 头 通知 服务 器 “我 支持 持久 连接 哦 ”。 对 此 服 

务 器 会 通过 Connection 头 返 回 一 个 回复 ， 同 时 还 会 通过 Keep-Alive 
头 告诉 对 方 持 久 连 接 的 相关 信息 〈 如 时 效 值 和 最 大 请 求 数 等 ) 。 


有 些 由 持久 连接 建立 的 连接 因为 设 有 Connection:close 头 ， 可 以 在 
时 效 到 来 之 前 就 关闭 。 

















图 3.2.6 通过 Connection 头 管理 持久 连接 
Accept-Encoding 头 /Content-Encoding 头 


Accept-Encoding 头 和 Content-Encoding 头 是 用 来 管理 HITP 压缩 的 
HTTP 报头 。Web 浏览 器 通过 Accept-Encoding 头 通 知 服务 器 “我 支 
持 这 种 方式 的 压缩 哦 ”， 对 此 服务 器 会 在 压缩 消息 体 之 后 ， 通 过 
人 头 返 回 一 个 “我 已 经 用 某 某 方式 压缩 好 了 哦 ”的 回 


负载 均衡 器 利用 这 两 种 头 以 及 表示 文件 种 类 的 Content-type 头 对 
HTTP 施 以 高 效 的 压缩 。 


我 支持 这 种 方式 的 
压 绾 焉 
GETIHTIPNA 
Acceapt-Encoding:gzip.defiate 
E 
Web 乳 务 说 





我 已 经 用 这 种 方式 压 闫 
好 了 项 


图 3.2.7 通过 Accept-Encoding/Content-Encoding 头 管 理 HTTP 


压缩 
User-Agent 头 


Web 浏览 器 将 其 自身 的 信息 以 User-Agent 头 的 形式 通知 给 服务 
Rs 当 你 使 用 低 版 本 的 Web 浏览 器 时 ， 偶 尔 会 跳出 “不 文 持 此 浏览 
这 种 警告 提示 就 是 根据 User-Agent 头 的 信息 判 


我 用 的 是 这 种 浏览 器 破 
GETHTTP/TT 
- oy 


ly . 


使 用 Firefox 的 客户 端 





Web 服务 性 


那 我 泛 回 一 个 表示 
不 支持 的 南面 吧 


图 3.2.8 ”通过 User-Agent 头发 送 Web 浏览 器 的 信息 


※ 事实 上 User-Agent 中 记载 的 信息 要 比 此 图 复杂 得 多 。 为 了 浅显 易 懂 ， 图 中 只 标 出 了 一 
些 人 简单 的 信息 。 














Cookie 头 


Cookie 指 的 是 通过 与 HTTP 服务 器 之 间 的 通信 ， 特定 信息 暂时 保 
存 到 浏览 右 中 的 一 种 机 制 ， 同 时 也 指 保 存 这 些 信息 的 文件 ， 在 Web 
浏览 器 上 的 每 个 FQDN (Fully Qualified Domain Name， 完 全 合格 
域名 ) 都 拥有 相应 的 Cookie。 大 家 一 定 有 过 下 面 这 样 的 经 历 吧 ， 虽 
然 并 没有 输入 上 自己 的 用 户 名 和 密码 ， 却 能 够 登录 购物 网 站 或 社交 网 
站 ， 这 就 是 Cookie 并 下 的 功劳 。 我 们 首次 输入 用 户 名 和 密码 并 在 
客户 端 登 录 成 功 之 后 ， 服 务 器 会 发 行 一 个 会 话 ID 并 通过 Set- 
Cookie 头 给 出 啊 应 。 由 于 后 续 发 出 请 求 时 都 会 在 Cookie 头 中 加 入 
会 话 ID， 于 是 自动 登录 就 得 以 实现 了 。 

















客户 泣 Web 服务 





图 3.2.9 服务 器 会 发 行 一 个 会 话 ID 并 通过 Cookie 去 交付 





图 3.2.10 在 Cookie 头 中 加 入 会 话 ID 后 发 出 请 求 


负载 均衡 器 的 Cookie 会 话 保持 〈Isert 模式 ) 利用 的 就 是 这 种 
Cookie 机 制 。 负 载 均衡 器 将 首次 啊 应 时 获得 的 、 含 服务 器 信息 在 内 
的 Cookie 通过 Set-Cookie 头发 送出 去 ， 由 于 后 续 发 出 的 请 求 均 含 
有 Cookie 头 ， 信 息 就 能 持续 不 断 地 发 往 同 一 台 服 务 器 。 


可 通过 多 种 方法 发 出 HTTP 请 求 


客户 端 用 请 求 消息 头 中 最 前 面 记 述 的 请 求 行 传达 HTTP 请 求 的 内 容 。 请 
求 行 由 三 个 要 素 构成 ， 分 别 是 方法 、URI (Uniform Resource Identifier， 
统一 资源 标识 符 〉 和 HTTP 版 本 。 方 法 指 HITP 请 求 的 种 类 ，URI 指 请 
求 的 地 点 (/index.html、http:// 一 等 ) 。 客 户 端 癌 URI 要 求 相 应 的 方 





法 ， 服 务 嚣 将 处 理 结果 返回 。 


而 5.3234448 10.1.1.100 152.455.1001 32349 http HTTP 441 GET/ HTTP/I.: 


nN Frome a Lbytes on Wne (Sn by), 441 bytes copturad [3528 bs) 


[加 Etharnat H, Sre: VmWware_ 6b:f5:da (00:0c:29:6b:f5:de), Dst: Vmware 1b:;27:4b (00:0c:29:1b:27:4b) 


802.1Q Virtual LAN, PRI 0, CFI: 0, ID: 4093 
| Intemet Protocol Version 4, Sre; 10,1,1.100 (10.,1.+,100), Dst: 192,168,100.1 (192;168.100,1) 
I 国 Transmission Control protocol. Src Port; S2349 (52349), Dst Port: htto (80), Seu: 1. Ack: 1, Len: 383 





Host; 10,1,1.2¥r¥n 请 的 内 容 

Usaer-Agent: Mozillaf5.0 (Windaws NT 6.1; WOW64; rv:9.0.1) Gecko/20100101 Firafox/9.0.1¥r¥n 
Accept: texUV/html,spplicstion/xhtml+xml,application/xml;q=0,9,°/*;Q=0,8¥r¥n 
Accept-LanguBge: jo,en-vus;q=0,7,en;9=0,3¥r¥n 

Accept-Encoding: gzip, defiate¥r¥n 

Accept-Charset: Shift_ J1S,Utf-8;q=0,7,";q=0.7¥¥n 

Connacton: Keep-alive¥rin 

Pragma: ho-cachewryn 

Cache-Control: no-cache¥r¥n 

¥rin 





图 3.2.11 通过 请 求 行 传达 HTTP 请 求 的 内 容 


用 于 请 求 行 的 方法 只 有 穴 窗 儿 种 ， 非 常 简 单 。 下 表 中 列举 了 一 坚 闻 用 的 
方法 以 供 大 家 参考 。 


表 3.2.1 方法 表示 请 求 的 种 类 


服务 查询 支 持 的 方法 和 和 


从 服务 器 获取 数据 


将 数据 传送 给 服务 器 





PUT 将 本 地 文件 传送 给 服务 器 


通 往 服务 器 的 路 径 























CONNECT 向 代理 服务 器 要 





用 状态 码 传达 状态 


服务 器 收 到 HTTP 请 求 之 后 ， 用 啊 应 消息 头 中 最 前 面 记 述 的 状态 行 返回 
处 理 结果 。 状 态 行 由 三 个 要 素 构成 ， 分 别 是 状态 码 、 状 态 码 说 明和 
HTTP 版 本 。 

这 三 个 要 素 中 最 重要 的 是 状态 码 。 状 态 码 是 一 个 三 位 数 的 编号 ， 表 示 处 


理 结果 如 何 。 每 个 状态 码 都 有 着 不 同 的 含义 ， 例 如 ，Web 服务 器 运行 正 
常 时 会 返回 “200 OK”， 请 求 内 容 并 不 存在 时 会 返回 “404 Not Found”。 








7 il: G4 bytss onN wre (iz Utsy, 4 by ontured {512 bs) 
Ed Vmware_ 1b:27:4b (00:0c:29:1Db:27:4b), Dst: Vmwara_6b:5:de (00:0c:29:6b:fS:de) 
| 二 a OIQ VGH LUAN, PRE 0, Crt 0, 1D:; 4093 
W Intemet protocol Version 4, Sre: 192,168.100,1 (192.165;100,1), Dst: 10,1,1,100 (30.1,1,100) 
由 Transmission Control Protocol, Src Port: http (80), Dst Port; 52349 (52349), Seq: 1461, Ack: 384 Len: 1 
国 [2 Resssembled TCP Seaments {1451 hvhec 2 11(1)] 


Date: Sun, 25 Dec 2013 17:09 
Server: Apache¥r¥n 
Vary: Accapt-Encoding¥ryn 
Content-Encoding: Gzipxrsn 

I Content-Length; 1238¥r¥n 
Keep-Alive: timeout=15, max=100¥ren 
Connection: Keep-Alive¥r¥n 
Content-Type; text/htmi¥r¥n 
Wn 
[HTTP r=sponse 1/2) 
[Time sincz request: 0,011687000 seconds) 
[Raqusst in frame: 引 





Contsnt-encoded entity body (0zio): 1238 bwtss -> 4427 bvtes 
SILine-boesed text date: text/html 
<HTML lang="]a">¥n 
<HEAD>Yn 
<META http"equiv="Content-Type” content="text/htm); charset=Shift-)1S5">¥n 
<STYLE type="text/css’ >¥n 
BODY {¥n 
¥tmvargin: Opx;¥n 








图 3.2.12 通过 状态 行 返 回 处 理 结果 
表 3.2.2 用 状态 码 传 达 服 务 器 的 状态 





Informational (信息 ) 收 到 请 求 ， 正 在 处 理 


Successful 〈 成 功 ) 已 成 功 处 理 


Redirection 〈 重 定向 ) 要 想 完 成 处 理 ， 还 需 进行 进一步 的 操作 





4XX Client Error 〈 客 户 端 错误 ) 请 求 的 语法 不 对 或 者 是 服务 器 未 能 接收 


Server Error〈 服 务 器 错误 ) 请 求 已 收 到 但 无 法 处 理 


3.2.2 用 SSL 保护 数据 
SSL (Secure Socket Layer， 安 全 套 阶 层 ) 是 一 种 保护 应 用 数据 不 受 网 络 


不 法 侵害 的 协议 。 人 们 在 网 络 上 交换 地 址 、 电 话 号 码 、 信 用 卡号 、 企 业 
机 蜜 等 各 种 信息 ， 网 络 上 的 恶意 破坏 者 则 始终 都 在 伺机 顽 探 ， 企 图 包 取 


这 些 重 要 的 信息 。 
[9 企 多 重要 信息 者 在 
< 奖 络 上 进行 交换 





各 呈 


次 时 破坏 宕 
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7 We 于 
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| a Wen DR 
贿 崔 帅 ， 这 于 县 信和 总 的 A/ fr SS en 3 
裤 诺 本 < 二 : 和 下 
和 臣 


图 3.2.13 ”人们 在 网 络 上 交换 各 种 各 样 的 信息 


SSL 是 为 了 保护 数据 不 受 恶 意 破坏 者 侵害 而 出 现 的 。 人 们 用 SSL 将 客户 
端 和 服务 器 之 间 的 数据 加 密 并 进行 认证 ， 以 此 来 保护 重要 的 数据 。 大 家 
在 上 网 时 都 可 以 看 到 ，Web 浏览 器 的 网 址 显示 为 “https:// 一 ”的 形式 ， 
后 面 有 一 把 上 锁 的 标记 。 这 表示 该 网 页 已 被 SSL 加 密 ， 数 据 是 非常 安 
全 的 ， 不 会 外 泄 。HTTPS 是 HTTP over SSL 的 简称 ， 是 指 对 HTTP 做 
了 SSL 处 理 。 





ee 显示 了 上 人 锁 的 标记 


一 == 
区 JE [ne | FT 加 国 coooe 
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图 3.2.14 可 通过 Web 浏览 器 的 显示 内 容 判 断 该 网 页 是 否 已 做 了 SSL 
处 理 


3.2.2.1 ”防止 田 听 、 算 改 和 冒充 


互联 网 让 我 们 能 够 搜索 到 目 己 需要 的 信息 ， 能 够 快速 地 购买 商品 ， 是 一 
个 非常 方便 的 世界 。 然 而 与 此 同时 ， 互 联网 也 是 一 个 充满 了 和 危险 的 世 
界 ， 其 中 的 三 大 危害 束 是 锣 听 、 稀 改 和 冒充 。SSL 能 够 保护 数据 免 受 侵 
害 ， 下 面 我 们 就 来 看 一 看 ， 它 分 别 都 运用 了 哪些 技术 去 抵御 这 些 侵害 。 
用 加 蜜 技术 防止 神 听 

鳃 昕 应 该 是 最 容易 理解 的 一 种 侵害 。 重 要 数据 如 果 不 加 任何 处 理 就 公开 
交互 ， 那 么 即使 不 是 恶意 破坏 者 的 普通 人 也 会 对 其 中 的 内 容 产 生 好 奇 


吧 。SSL 将 客户 器 和 服务 器 之 间 的 通信 加 密 ， 这 样 ， 即 使 外 人 入 听 到 这 
些 信息 ， 也 无 从 获悉 其 中 的 具体 内 容 。 





Web 客户 党 


(Web 浏览 各 ) 





图 3.2.15 用 加 密 技术 防止 窃听 
用 消息 摘要 技术 检测 数据 是 否 被 算 改 过 


算 改 是 指数 据 在 传输 途中 被 擅自 改写 的 一 种 侵害 。 假 设 我 们 在 网 上 订购 
了 商品 ， 但 是 如 果 送 货 地 址 被 恶意 破坏 者 改 成 了 他 目 己 的 地 址 ， 我 们 就 
无 法 收 到 该 商品 了 。SSL 将 根据 数据 计算 出 的 消息 摘要 (MD 值 〉 和 数 
据 本 丑 一 起 及 送 ， 以 此 来 检查 数据 是 否 人 被 委 改过 。 市 点 收 到 它们 之 后 ， 

将 根据 数据 计算 出 的 消息 摘要 和 添加 的 消息 摘要 进行 比较 ， 看 二 者 是 否 
nn 
开 未 被 算 改 。 
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图 3.2.16 用 消息 摘要 技术 检测 数据 是 否 被 算 改 过 
用 数字 证 书 技术 识破 冒充 


冒充 是 假扮 成 通信 对 象 的 一 种 侵害 。 数 据 发 送 方 并 不 知道 对 方 是 否 真 的 
征 目 己 想 要 发 送 数据 的 对 象 ， 通 信 可 能 在 不 知 不 觉 中 束 被 恶意 破坏 者 动 
持 ， 而 且 这 些 恶意 破坏 者 还 可 能 冒充 本 应 收 到 数据 的 一 方 。 所 以 ， 如 果 
我 们 不 采取 任何 防范 措施 ， 束 相当 于 把 重要 的 数据 杀 目 交 到 坏人 的 手 
上 。 因 此 ，SSL 会 利用 数字 证 书 去 确认 对 方 的 身份 ， 它 的 工作 原理 是 ， 
1 前 要 求 对 方 提供 自身 的 信息 ， 然 后 根据 对 方 发 过 来 的 数字 
证 书 验 日 
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图 3.2.17 用 数字 证 书 技术 识破 冒充 
3.2.2.2 ”通过 SSL 可 以 给 各 种 各 样 的 应 用 程序 协议 加 密 


常常 有 人 误 以 为 SSL 是 HTTP 专用 的 加 密 协 议 ， 其 实 并 非 如 此 ， 只 不 
过 人 万 巧 HTTPS 是 网 络 上 最 为 常用 的 协议 ， 所 以 容易 让 人 们 产生 这 样 的 
误解 而 已 。SSL 在 传输 层 运 作 ， 和 应 用 协议 是 各 自 独立 工作 的 。 由 于 
SSL 要 用 到 TCP， 所 以 它 应 该 是 在 TCP 之 上 应 用 程序 之 下 ， 给 人 感觉 
是 在 第 4.5 层 中 运作 。SSL 将 TCP 应 用 协议 视 为 加 密 对 象 ， 因 此 ， 用 于 
文件 传输 的 FTP 和 用 于 邮件 收发 的 SMTP 也 可 以 用 SSL 进行 加 密 处 
理 。 这 时 候 ， 这 些 协议 的 称呼 也 会 变 成 “oo over SSL” 的 形式 ，FTP 变 成 
FTP over SSL，SMTP 则 变 成 SMTP over SSL。 





图 3.2.18 ”可 通过 SSL 给 各 种 各 样 的 TCP 程序 加 密 
3.2.2.3 SSL 使 用 混合 加 密 方 式 进行 加 密 
加 密 技术 由 加 密 和 解密 的 双重 关系 构成 。 


发 信 方 将 需要 及 送 的 原文 和 用 于 加 密 的 钥匙 "加密 密 钥 ? 著 入 一 个 叫 作 加 
密 算 法 的 数学 计算 步骤 中 ， 然 后 上 锁 ， 将 原文 转换 为 加 密 文 《加 密 处 
理 ) 。 收 信 方 将 收 到 的 加 密 文 和 用 于 解密 的 钥匙 “解密 密 钥 ” 装 入 一 个 叫 
作 解 密 算法 的 数学 计算 步骤 中 ， 然 后 开锁 ， 由 此 取出 原文 (解密 处 
理 ) 。 根 据 加 密 密 钥 和 解密 密 钥 的 使 用 方法 ， 网 络 中 的 加 密 技 术 大 致 分 
为 共享 密 钥 加 密 和 公 钥 加 密 两 种 方式 ， 下 面 来 分 别 说 明 一 下 。 





图 3.2.19 加密 技 术 由 加 密 和 解密 的 双重 关系 构成 


用 共享 密 钥 加 密 方 式 可 进行 高 速 处 理 


在 共享 密 钥 加 密 方式 中 ， 加 密 密 钥 和 解密 密 钥 是 相同 的 。 由 于 发 信 方 和 
收 信 方 对 称 地 使 用 相同 的 密 钥 ， 所 以 这 种 方式 又 被 称 作 对 称 密 钥 加 密 方 
式 。 发 信 方 和 收 信 方 预先 共享 同一 把 密 铀 ， 用 加 密 密 钥 将 数据 加 密 ， 然 
后 用 和 加 和 密 密 钥 完全 一 致 的 解密 密 钥 为 数据 解密 。DES (Data 
Encryption Standard， 数 据 加 密 标准 ) 、3DES (Triple Data Encryption 
Standard， 三 重 数据 加 密 标准 ) 和 AES (Advanced Encryption 
Standard， 高 级 加 密 标准 ) 都 属于 这 一 类 加 密 方式 。 


共享 密 钥 加 密 方式 的 优点 在 于 它 的 处 理 速 度 ， 由 于 结构 简单 ， 加 密 处 理 
和 解密 处 理 都 能 够 高 速 地 完成 。 缺 点 则 是 密 钥 的 传送 问题 ， 由 于 加 密 密 
钥 和 解密 密 钥 相同 ， 万 一 密 钥 被 恶意 破坏 者 截取 ， 就 无 法 保证 数据 安全 
Re 我 们 必须 另外 考虑 如 何 将 通信 双方 之 间 共 享 的 密 钥 安全 地 传 
送 给 对 方 。 











过 送 客 钥 时 如 果 [过 9 
发 过 去 


由 全 站 天 | ~ tai 和 
图 3.2.20 ”共享 密 钥 加 密 方 式 中 的 加 密 密 钥 和 人 解密 密 钥 是 相同 的 
用 公开 密 钥 加 密 方式 能 更 好 地 解决 密 钥 传送 问题 


公开 密 钥 加 密 方 式 《〈 公 钥 加 密 方式 ) 是 加 密 和 人 解密 分 别 使 用 不 同 密 钥 的 
加 蜜 方式 。 由 于 发 信 方 和 收 信 方 不 对 称 地 使 用 不 同 的 密 钥 ， 所 以 这 种 方 
本 
Ts 


在 公 钥 加 秘方 式 背 后 起 着 支 撑 作用 的 是 公 钥 和 秘 钥 。 它 们 各 如 其 名 ， 公 
钥 指 可 以 公开 的 蜜 钥 ， 秘 钥 则 指 秘密 保管 的 密 钥 ， 这 两 个 密 钥 是 成 对 使 
用 的 ， 所 以 被 称 为 密 钥 对 。 密 钥 对 之 间 存 在 着 某 种 数学 关系 ， 不 能 用 其 
中 一 把 计算 出 男 外 一 把 。 而 且 ， 用 公 钥 加 密 的 加 密 文 必须 用 秘 钥 才能 解 


D4 
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那么 ， 密 钥 对 在 公开 和 密 钥 加 密 方式 中 是 如 何 运作 的 昵 ?我们 来 看 一 下 它 
的 处 理 顺 序 。 


1 - 收 信 方 生成 公 铀 和 秘 钥 〈 密 钥 对 ) 。 
2 一 收 信 方 将 公 钥 对 外 发 布 ， 同 时 保管 秘 钥 。 
3 -> 发 信 方 将 公 钥 加 蜜 后 发 给 收 信 方 。 





4- 收 信 方 用 秘 钥 给 公 钥 解密 。 


| 当 沪 公 和 组 对 外 公布 








图 3.2.21 公 和 钥 加 秘方 式 使 用 公 钥 和 秘 钥 


公 钥 加 密 方式 的 优点 在 于 密 钥 传 送 。 用 于 加 密 的 公 钥 是 对 外 公开 的 密 
钥 ， 只 有 和 秘 钥 在 一 起 才能 发 挥 作用 ， 而 且 谁 也 无 法 由 公 钥 计算 出 秘 
钥 ， 因 此 我 们 不 必 担 心 密 钥 传送 是 否 安全 这 个 问题 。 缺 点 则 是 处 理 速 度 
较 慢 ， 公 钥 加 密 方 式 的 处 理 比 较 复 杂 ， 加 密 和 解密 都 需要 耗费 较 长 的 时 
间 。 


混合 加 密 方式 能 采 众 家 之 长 


在 公 钥 加 密 方 式 和 共享 密 钥 加 密 方式 中 ， 一 方 的 优点 恰好 是 另 一 方 的 缺 
点 ， 反 之 亦 然 。 在 这 样 的 背景 下 ， 混 合 加 密 方式 应 运 而 生 。SSL 采用 的 
了 驶 是 混合 加 密 方式 ， 它 既 能 像 共 享 密 钥 加 密 方式 那样 进行 高 速 处 理 ， 又 
Mn 的 问题 ， 是 一 种 采 众 家 之 长 的 加 密 
闻 了 0 


表 3.2.3 ”在 共享 密 钥 加 密 方式 和 公 钥 加 密 方式 中 ， 一 方 的 优点 恰好 是 
另 一 方 的 缺点 ， 反 之 亦 然 








比较 事项 


处 理 速度 高 速 低速 
































每 个 通信 对 象 都 需要 管理 只 需 管理 秘 钥 即 可 

















在 混合 加 密 方 式 中 ， 消 息 是 通过 共享 密 钥 加 密 方 式 加 密 的 ， 使 用 共享 密 
钥 加 密 方式 可 实现 高 这 处 通 。 与 此 同时 ， 共享 密 钥 加 密 方式 中 使 用 的 密 
钥 是 通过 公 钥 加 冤 方 式 加 密 的 ， 这 样 又 能 够 解决 密 钥 传送 的 问题 。 


下 面 我 们 来 看 一 下 实际 的 工作 流程 。1 一 4 为 公 钥 加 密 方式 ，5 一 6 为 
共享 密 钥 加 密 方式 。 


1 -、 收 信 方 生成 公 铀 和 秘 钼 。 
2 ~- 收 信 方 将 公 钥 对 外 发 布 ， 同 时 保管 秘 钥 。 


3 -， 发 信 方 0 
加 密 后 发 给 收 信 方 


4- 收 信 方 用 秘 钥 解 密 后 取出 共 孚 密 铀 ， 从 这 一 刻 开始 ， 双 方 共同 拥 
有 给 消 妃 加 密 和 解密 的 密 铀 。 


5 发 信 方 用 共享 密 钥 给 消息 加 密 后 发 给 收 信 方 
6 -~ 收 信 方 用 共 孕 密 钥 给 收 到 的 消 恩 解密 。 














图 3.2.22 ”混合 密 钥 加 密 方 式 采 众 家 之 长 
3.2.2.4 消息 摘要 是 消息 的 概要 


正如 其 名 ， 消 妃 摘 要 指 的 是 消息 的 概要 《〈 摘 要 ) 。 摘 要 的 提取 犹如 采集 
数据 的 “指纹 ”， 所 以 它 又 被 称 作 (数字 〉 指纹。 男 外 ， 由 于 它 像 做 炸 土 
豆饼 (Hashed Potato， 谐 音 为 哈 希 土豆 ) 一 样 是 将 数据 “ 切 碎 ”再 进行 泥 
合 加 工 ， 所 以 也 被 称 作 哈 希 〈Hash)“ 。 














| ?7 Hash 此 处 采用 了 音译 ， 也 可 译 为 “ 散 列 *。 一 一 译 者 注 
比较 消息 摘要 效率 更 高 


当 我 们 需要 查看 两 个 数据 是 否 一 臻 时， 直接 将 二 者 进行 比较 是 最 简单 也 
最 直截了当 的 办 法 。 当 然 ， 如 果 数 据 比 较 小 ， 用 这 种 办 法 也 是 可 行 的 。 
但 是 ， 如 果 数 据 很 大 会 怎么 样 呢 ? 结论 是 保管 数据 可 能 就 需要 成 倍 的 空 
间 ， 比 较 作 业 本 身 也 会 非常 麻烦 ， 于 是 人 们 想到 了 用 消息 摘要 来 解决 这 
个 问题 。 消 息 摘 要 是 由 “ 单 向 哈 希 函数 ”计算 出 来 的 值 。 因 为 它 是 数据 的 
摘要 ， 所 以 比较 小 ， 而 且 无 论 原来 的 数据 有 多 大 ， 算 出 来 的 消息 摘要 的 
大 小 都 是 相同 的 ， 因 此 处 理 起 来 非常 方便 。 另 外 ， 人 们 无 法 根据 消息 搞 
要 复原 出 完整 的 数据 ， 也 就 是 说 ， 即 使 它 不 幸 被 穷 ， 从 安全 角度 上 说 也 
没有 任何 问题 。 




















图 3.2.23 ”由 单 癌 哈 希 函数 生成 消息 摘要 


比较 数据 的 时 候 ， 先 是 由 发 信 方 将 数据 和 消息 摘要 一 起 发 给 收 信 方 ， 收 
信 方 根据 数据 算出 消息 摘要 之 后 ， 将 自己 算出 的 消息 摘要 和 收 到 的 消息 
摘要 进行 对 比 。 如 果 数 据 未 被 算 改 过 ， 那 么 经 过 同样 的 计算 得 出 的 消息 
摘要 就 应 该 是 一 致 的 。 


Web 客户 普 HTTPS 和 服务 长 


(Web 浏览 器 ) 一 














图 3.2.24 用 消息 摘要 (MD ) 检测 数据 是 否 被 算 改 过 
通过 消息 摘要 进行 证 书 验 证 
在 SSL 中 ， 消 息 摘 要 还 用 于 验证 数字 证 书 。 无 论 做 了 多 么 周全 的 加 密 





处 理 ， 如 果 发 送 数据 的 对 象 是 陌生 人 ， 那 么 通信 就 没有 任何 意义 。 在 

SSL 中 ， 发 信 方 和 收 信 方 利用 数字 证 书 来 证 明 自己 和 对 方 的 身份 。 这 样 
的 话 ， 有 一 点 就 非常 重要 了 ， 那 就 是 即使 某 一 方 大 声 呼喊 "我 是 A 

哦 ! "也 不 足以 令 人 信服 。 口 说 无 任 ， 这 个 人 到 底 是 不 是 A 我 们 无 从 知 
道 ， 也 许 只 是 某 个 人 B 在 大 叫 “ 我 是 A 哦 ! ”而 已 。 因 此 在 通信 中 ，SSL 
是 采用 第 三 方 认 证 来 解决 这 个 问题 的 。 具 体 说 来 ， 是 让 可 以 信任 的 第 三 








方 一 一 CA (Certificate Authority， 证 书 授权 ) 机 构 以 数字 签名 的 形式 
对 “A 是 A” 这 个 事实 给 予 认 可 。 然 后 在 该 数字 签名 中 使 用 消息 摘要 。 
通过 数字 签名 进行 
NU | 第 三 方 认 证 a 
二 
Web 客户 端 本 和 
( Web 浏览 器 ) ES | A 公司 的 
SSL 服务 器 
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图 3.2.25 ”通过 数字 签名 进行 第 三 方 认证 


数字 证 书 由 签名 前 证 书 、 数 字 签 名 算法 和 数字 签名 这 三 个 部 分 构成 。 签 
名 前 证 书 是 服务 器 和 服务 器 持 有 人 的 信息 ， 表 示 服 务 器 网址 的 公用 名 
称 、 有 效 期 限 和 公 和 钥 也 包含 在 其 中 。 数 字 签 名 算法 中 包含 曲 向 哈 希 函 
数 。 将 签名 前 证 书 经 过 哈 希 处 理 得 到 的 消息 摘要 用 CA 机 构 的 秘 钥 进行 
加 密 ， 束 得 到 了 数字 签名 。 





“ 有 效 期 终结 日 





图 3.2.26 ”数字 证 书 由 签名 前 证 书 、 数 字 签 名 算法 和 数字 签名 三 个 部 

分 构成 

收 信 方 收 到 数字 证 书 之 后 ， 用 CA 机 构 的 公 钥 (路 由 证 书 〉 将 数字 签名 
解密 ， 然 后 将 其 和 签名 前 证 书 对 比 。 如 果 二 者 一 致 就 说 明证 书 未 被 自 

改 ， 也 就 是 说 发 来 信息 的 服务 器 的 确 不 是 由 恶意 破坏 者 冒充 的 。 











图 3.2.27 验证 证 书 


补充 一 下 ， 如 果 数 字 证 书 验证 失败 ， 则 会 跳出 警告 提示 。 
3.2.2.5 SSL 中 执行 着 大 量 的 处 理 


SSL 中 包含 着 诸多 技术 组 合 ， 是 一 种 综合 性 的 加 密 协 议 。 为 了 让 这 些 技 
术 彼 此 组 合并 相辅相成 ， 最 终 实现 成 功 连 网 ， 需 要 执行 大 量 的 处 理 。 下 
面 ， 我 们 以 某 台 SSL 服务 器 要 在 互联 网 上 公开 为 前 提 ， 逐 一 梳理 各 项 
处 理 的 具体 内 容 。 

准备 服务 器 证 书 并 将 其 安装 到 服务 器 上 

在 互联 网 上 公开 SSL 服务 器 ， 并 不 意味 着 准备 好 一 台 已 启动 SSL 服务 
的 服务 器 就 足够 了 。 将 一 台 服 务 器 作为 SSL 服务 器 公开 之 前 我 们 需要 
做 一 些 准备 工作 ， 例 如 准备 好 证 书 、 向 CA 机 构 提 交 申 请 ， 等 等 。 大 致 
说 来 可 分 为 以 下 四 个 步 又 。 


1 -， 通过 SSL 服务 器 8 生成 秘 钥 。 秘 钥 是 不 可 以 对 外 公开 的 密 钥 ， 一 
定 要 细心 保管 ， 避 免 遗 失 。 


8 如 果 是 通过 负载 均衡 器 进行 SSL 加 速 ， 则 也 由 负载 均衡 器 生成 密 钥 对 。 
































2 、 用 1 -中 生成 的 秘 钥 生成 CSR (Certificate Signing Request， 证 书 
签名 请 求 ) ， 将 其 发 给 CA 机 构 。CSR 是 一 种 为 获得 服务 器 证 书 而 提交 
给 CA 机 构 的 随机 字符 串 ， 由 签名 前 证 书 的 信息 构成 ， 生 成 时 会 将 相关 
的 信息 一 一 写 入 。 生 成 CSR 时 需要 用 到 的 信息 统称 为 区 别名 称 ， 表 
3.2.4 中 列 出 了 其 中 所 包含 的 内 容 。 


表 3.2.4 写 入 区 别名 称 ， 生 成 CSR 























组 织 名 称 该 网 站 运营 组 织 的 正式 英语 Local Japan K.K 


部 门 名 称 该 网 站 的 运营 部 门 及 其 下 属 的 名 称 ”| Information Security Section 





大 名称。 | 该 网 站 运 划 组 织 的 地 址 








其 白 欠 
从 、 寺 市 各 称 | 流 辣 站 运 上 组 织 的 地 下 


不 同 的 CA 机 构 会 要 求 不 同 的 申请 提交 信息 和 公 钥 长 度 ， 我 们 一 定 要 在 
相关 网 站 预先 确认 好 。 


3 ”按照 CA 机 构 规定 的 各 种 流程 进行 审核 ， 审 核 内 容 包 括 : 查看 各 
种 信贷 数据 、 拨 通 在 第 三 方 机 构 数据 库 中 记载 的 电话 号 码 直 接 确 认 ， 等 
等 。 审 核 通 过 之 后 对 CSR 进行 哈 希 处 理 ， 用 CA 机 构 的 秘 钥 加 密 后 将 

其 作为 数字 签名 添加 到 服务 器 证 书 中 ， 接 下 来 CA 机 构 会 发 行 服务 器 证 
书 并 交 给 请 求 方 。 服 务 器 证 书 也 是 随机 的 字符 串 。 


4 -， 将 从 CA 机 构 获得 的 服务 器 证 书 安装 到 SSL 服务 器 上 上， 有些 CA 
机 构 会 要 求 将 中 间 证 书 也 一 起 安装 进去 。 中 间 证 书 指 的 是 中 间 CA 机 构 
发 行 的 一 种 证 书 。CA 机 构 为 阶层 性 构造 ， 管 理 着 各 色 各 样 的 证 书 ， 位 
于 最 顶层 的 是 路 由 CA 机 构 。 中 间 CA 机 构 是 被 CA 机 构 〈 路 由 CA 机 
构 ) 认可 的 下 属 CA 机 构 。 


























Web 客 六 党 
(Web 浏览 里 ) 


图 3.2.28 ”证 书 安装 完毕 之 后 ， 人 准备 工作 才 算 结 
大 量 处 理 结束 之 后 ， 加 密 才 得 以 进行 





证 书 安装 结束 之 后 ， 接 下 来 就 要 受理 来 自 客 户 端 的 连接 了 。SSL 并 不 是 
马上 给 消息 加 密 然 后 就 发 送出 去 的 ， 在 消息 加 密 之 前 还 有 一 个 SSL 握 
手 阶 段 ， 用 来 决定 给 哪个 信息 加 密 。 这 里 所 说 的 握手 和 TCP 的 三 次 握 
手 ( 依 次 为 SYN、SYN/ACK 和 ACK) 是 完全 不 同 的 概念 。SSL 在 
TCP 的 三 次 握手 结束 之 后 再 进行 SSL 握手 处 理 ， 然 后 根据 在 该 处 理 中 
决定 的 信息 给 消息 加 密 。SSL 握手 由 四 个 步骤 构成 ， 分 别 是 出 示 算 法 、 
证 明 通 信 对 象 的 身份 、 交 换 共 享 密 钥 以 及 最 终 确 认 。 
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* 能 他 使 用 的 加 元 牙 法 积 单 疝 咏 着 轩 数 
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* 艇 第 使 用 的 秆 换算 法 的 酒 单 等 
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读 可 以 使 用 演 些 算法 
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决定 合用 访 个 算法 了 
我 已 径 把 水 村 信息 发 给 你 了 


狼 柜 共 京 雍 角 维 相 素 
加 入 后 发 给 你 








图 3.2.29 在 SSL 握手 中 交换 共享 密 铀 
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1 - ”出示 文 持 的 算法 


在 这 个 步 又 中 由 客户 端 出 示 自 己 能 够 使 用 的 加 密 方 式 和 单 向 哈 希 函数 。 
用 于 加 密 和 哈 希 处 理 的 技术 算法) 非常 之 多 ， 所 以 必须 通过 Client 
Hello 告知 对 方 本 机 能 够 使 用 哪些 加 密 算 法 和 单 同 哈 希 函数 。 





“SSL 版 本 
. 当前 时 刻 
* client random ( challenge ) 
* 会 话 |D 
* 可 用 的 加 密 算法 (AES、.DES、3DES 等 ) 
"可 用 的 单 向 哈 希 函数 ( SHA-1、MD5 等 ) * 
- 可 用 的 压缩 算法 ;我 可 以 使 用 
i 这 上 站 法 [C7 
aE 
客户 端 SSL 服务 器 





图 3.2.30 ” 同 服 务 器 出 示 能 够 在 本 机 中 使 用 的 参数 


此 外 ， 在 这 个 步骤 中 还 要 发 送 其 他 一 些 必 须 和 服务 器 保持 一 致 的 参数 ， 
如 SSL 版 本 、 会 话 ID 和 用 于 生成 共享 密 钥 的 client random 等 。 


时 i 7: 158 bytes on W264 bits), 158 bytes captured (1264 bits) 
a Ethemet 了 Src: Vmware_co:00:01 (00:50;56:c0:00:01), Dst: Vmware_6b:f5:d4 (00:0c:29:6b;f5:d4) 
9 802.1Q Virtual LAN, PRI: 0, CFE: 0, ID: 4094 
a Internet Protocol Sre; 10.1.1,100 (10.1.1.100), Dst; 10.1.1,4'(10.1.1.4) 
a Transmission Control Protocol, Src Port: 49417 (49417), Dst Port: htips (443), Seq: 1, Ack: 1, Len: 100 
E Secure Socket Layer 
CS | En | 
Content Type: Handshake (22) 
Version: TLS 1.0 (0x0301) 
Length: 95 
9 Handshake Protocol: Client Hello 
Handshake Type: Client Hello (1) 
Length:; 91 
Version: TLS 1.0 (Dx0301) 
3 Random 
aMmt_unix_time: jan 3 2012 20:54:02. 0 率 京 (标准 器 


ite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f) 
; TLS_RSA_WITH_AES 256._CBC_SHA (0x0035) 
ta: TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x0008) 
Cipher Sylte; TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) 
Cipher Suite: TLS_ECDHE_RSA. WITH._AES_ 256_CBC_SHA (Oxc014) 
Cipher Suite: TLS_ECDHE_ECDSA_ WITH_AES_ 128_CBC_ SHA (0xc009) 
Cipher Suite: TLS_ECDHE_ECDSA._ WITH_AES_256_CBC_SHA (0xcO0a) 
Cipher Suite: TLS_DOHE_DSS_WITH_AES_128_CBC_SHA (0x0032) 
Cipher Suite: TLS_DHE_DSS-_WITH_AES._256_CBC_SHA (0x0038) 
Cipher Suite: 
Compression Methods Length: 1 
站 Compression Methods (1 method) 
Extensions Length; 30 
E Extension: renegotiation_info 
Extension: Status_reqUest 
EB Extension; elliptic_curves 
Extension: ec_point_formats 





图 3.2.31 通过 Client Hello 向 服务 器 出 示 支 持 的 算法 清单 
2 ~ 证 明 通 信 对 象 的 身份 


在 这 个 步骤 中 通过 确认 服务 器 证 书 来 查 明 客户 端 是 否 在 和 真正 的 服务 器 
通信 ， 这 个 步骤 由 三 个 进程 构成 。 


首先 ， 服 务 器 会 在 收 到 的 清单 中 选 出 能 够 使 用 的 算法 ， 然 后 返回 一 人 





Server Hello。 除 了 选 出 的 算法 外 ， 消 息 中 还 包括 SSL 版 本 、 会 话 ID、 
用 于 生成 共享 密 钥 的 server random 等 必须 和 客户 端 保持 一 致 的 参数 。 

接 下 来 用 Certificate 发 送 本 机 的 服务 嚣 证书， 通知 对 方 上 自己 的 身份 。 最 
后 发 出 Server Hello Done 的 消息 ， 告 知 对 方 所 有 信息 都 已 发 送 完 毕 。 客 
户 端 收 到 服务 器 证 书后 对 其 进行 验证 〈 用 路 由 证 书 解密 ， 然 后 比较 双方 
的 MD 值 ) ， 考 穴 服 务 器 的 真 伪 。 








“SSL 捕 本 

"当前 时 去 

* Safvear fanoonm 

. 会 话 扣 

* 决定 使 用 的 加 鹤 算 法 





(AES.DES.3DES 委 ) 
* 决定 使 用 的 单 向 哈 项 辜 数 
(SHA-1.MD5 等 
决定 使 用 的 褒 比 簿 芒 





决定 侍 用 这 个 算法 
人 一 
发 送 
《mm | [Certificate 
4 Server Halio 
完 半 


图 3.2.32 通过 证 书 考察 对 方 的 身份 





fs Frame 8: 577 bytes on wire (4616 bits), 577 bytes captured (4616 bits) 
a Ethernet 1, Sre: Vmware_6b:15:d4 (00:0c:29:6b:15:d4), Dat: Vmware_c0:00:01 (00:50:56 
a 802.1Q Virtual LAN, PRI: 0, CFI: 0, 1D: 4094 
a Internet Protocol, Sre: 10.1.1.4 (10.1.1.4), Dst: 10.1,1.100 (10.1:;1.100) 
3), Dst Port: 49417 (49417), Seq: 1, Ack: 


son Onto oso, Se or DPS (4 Pst hort: A947. 047) Se ck: 


S TLSv1 Record Layer: Handshake Protocol:[Server Hello] 
Content Type: Handshake (22) 
Version: TLS 1.0 (0x0301) 
Length: 42 
Handshake Protocol: Server Hello 
Handshake Type: Server Hello (2) 
Length: 38 
Version: TLS 1.0 (0x0301) 
Random 
nie Jan 4,2012 05:54:01. DO 人 全 


en Rh 


TLSvy1 Record Layer: Handshake Protocol 
Content Type: Handshake (22) 
Version: TLS 1.0 (Ox0301) 

Length: 458 
E Handshake Protocol: Certificate 

Handshake Type: Certificate (11) 

Length; 454 

Certificates Length: 451 
S Certificates (451 bytes) 

Certificate Length: 448 














图 3.2.33 ”通过 三 个 进程 宣称 自己 的 身份 


3 ~ 交换 共享 密 铀 


在 这 个 步骤 中 ， 双 方 交 换 用 于 加 密 消 息 的 共享 密 钥 。 客 户 端 确 认 服 务 髓 
正确 无 误 之 后 ， 会 生成 一 个 叫 作 预 主 秘 钥 的 共享 密 钥 要 素 ， 并 将 其 发 送 
给 服务 器 。 这 个 要 素 并 非 共 享 密 钥 ， 而 只 是 组 成 共享 密 钥 的 素材 ， 实 际 
上 使 用 的 共享 密 钥 是 由 预 主 密 钥 、 通 过 Client Hello 获得 的 client random 
以 及 通过 Server Hello 获得 的 server random 混合 而 成 的 。dlient random 
和 server random 由 于 在 一 开始 就 彼此 交互 ， 有 着 双方 共同 的 部 分 ， 所 
以 将 密 钥 素材 发 送 过 去 之 后 ， 束 能 够 生成 同样 的 共享 密 钥 。 


容 户 问 在 Client Key Exchange 中 用 公 钥 给 预 主 密 钥 加 密 ， 然 后 将 其 发 送 
给 服务 器 。 服 务 器 收 到 后 再 用 秘 钥 为 其 解密 ， 取 出 预 主 密 钥 之 后 将 其 与 


client random 和 server random 合成 ， 最 终 得 到 共享 密 钥 。 
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加 寥 之 后 本 发 给 你 或 
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中 共享 密 钥 | i 
了 


a pr 
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NR KART 成 
raNoony | | rendom random | | randorm 


会 成 共 京 密 钥 合成 共识 购 乌 





图 3.2.34 客户 并 将 共享 密 钥 的 要 素 加 密 之 后 发 给 服务 器 
4 -， 最 终 人 确认 
这 个 步骤 是 最 后 的 确认 作业 。 双 方 交 换 Change Cipher Spec 并 宣称 使 用 


哪 一 种 加 密 算 法 给 消 轧 加 密 。 这 一 步 的 交互 结束 之 后 ， 才 终于 给 传输 加 
蜜 并 传输 加 密 消 妃 的 阶段 。 


Change > 


”i 
4 ee E| SSL 服务 器 
ee Spec 


~ | 





客户 端 





图 3.2.35 ”最 后 彼此 进行 确认 


峰 3 25.959382 10,1.1.100 10.1.1.4 49417 https TLSv1 Oi Exchange, Chahos Ciphe 


a Frame 9: 256 bytes on wire (2048 bits), 2565 ts captured (2048 bits) 
I Ethernet 1, Src: Vmware_c0:00:01 (00:50:56:c0:;00:01), Dst: Vmware. 6b: 和 5:d4 (00:0c:29 
m802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 4094 
I Internet Protocol, Sre: 10:1.1,100 (10.1.1.100), Dst: 10.1.1.4 (10.,1.1:4) 
是 Transmission Control Protocol, Src Port: 49417 (49417), Dst Port: https (443), Seq: 101, A 
IS Secure Socket Laye 
=s TLSY1 Record LaYyer Handshake ProtocolllClient Key Exchanoe 

Content Type: Handshake (22) 

Version: TLS 1.0 (0x0301) 

Length: 134 

S Handshake Protocol: Client Key Exchange 
Handshake Type: Client Key Exchange (16) 


Eee de 1 | 
S TLSv1 Record Layer: Change Cipher Spec Prot tocol Tehanoe pher sped | 
Content Type: Change Cipher Spec (20) | 
Version: TLS 1.0 (0x0301) 


EB 
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ke To Handshake (22) 
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Length:; 48 
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图 3.2.36 ”通过 Client Key Exchange 发 送 共 享 密 钥 的 要 素 


国 10 25.961153 10.1,1.4 10,1.1.100 443 49317TLSVL Change Cipher Spec, Encrypted Handshake Mes5 (uM 


9 Frame 10: 117 bytes on wire (936 bits), 117 bytes captured (936 bits) 
5 Ethemet H, Src: Vmware_6b:f5:d4 (00:0c:29:6b:f5:d4), Dst: Vmware. coO:00:;01 (00:50:56 
9 802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 4094 
a Internet Protocol Src: 10.1.1.4 (10.1.1.4), Dst: 10.1.1.100 (10.1.1.100) 
WH Transmission Control Protocol, Src Port: https (443), Dst Port: 49417 (49417), Seq: 520, A 
a Secure Socket Layer 
: TLSv1 Record Layer: Change Cipher Spec Protocol 
Content Type: Change Cipher Spec (20) 
Version: TLS 1.0 (Dx0301) 
Length: 1 
Change Cipher Spec Message 





| WS ry 0335555332533259 | 
3 TLSv1 Record Layer: Handshake Protocol:| Encrypted Handshake Message | 
Content Type: Handshake (22) 


Version: TLS 1.0 (Ox0301) 表示 inished ( 已 所 窗 )】 
Length: 48 


ss Handshake Protocol: Encrynted Hangshake .MeSSagR ,se 
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图 3.2.37 大 量 处 理 结束 之 后 ， 加 密 才 得 以 进行 
3.2.2.6 ”用 客户 端 证 书 对 客户 端 进行 认证 


SSL 通信 中 包括 两 个 认证 机 制 ， 一 个 是 服务 器 认证 ， 妨 一 个 是 客户 并 认 
服务 器 的 认证 要 用 到 服务 嚣 证书， 客户 端的 认证 要 用 到 客户 端 证 


现在 我 们 来 着 重 看 一 下 客户 端 认证 。 一 般 来 说 ， 客 户 端 有 两 种 认证 方 
法 ， 分 别 是 密码 认证 和 客户 端 认 证 。 密 码 认 证 在 SNS 网 站 和 在 线 购物 
网 站 中 也 会 用 到 ， 大 家 应 该 都 很 熟悉 。 用 户 只 要 输入 用 户 ID 和 密码 ， 
就 会 出 现 相 应 的 网 页 。 输 入 用 户 ID 和 密码 的 认证 方法 非常 容易 理解 ， 
而 且 无 论 里 在 何 处 ， 只 要 能 够 上 网 就 可 使 用 ， 奉 论 方便 ， 无 出 其 右 者 。 
然而 与 此 同时 ， 这 种 方法 也 十 分 容易 受到 恶意 攻击 ， 一 旦 用 户 ID 和 密 
码 泄 露 ， 谁 都 可 以 利用 它们 去 冒充 真正 的 用 户 。 


客户 端 认证 就 是 为 了 解决 这 个 易 受 攻击 的 问题 而 出 现 的。 该 方法 根据 安 
装 到 客户 端的 客户 器 证 书 来 识别 对 方 是 否 为 真正 的 用 户 ， 结 论 是 肯定 的 
才 给 予 认 证 ， 也 就 是 用 证 书 取代 了 用 户 ID 和 密码 。 在 SSL 连接 处 理 











中 ，SSL 服务 器 会 要 求 客 户 端 提 供 客 户 端 证 书 。 客 户 端 返回 代表 本 机 身 
份 的 客户 端 证 书 之 后 ， 服 务 器 会 根据 该 证 书 的 内 容 对 客户 端 进行 认证 ， 
通过 之 后 才 允 许 连 接 。 双 方 互 相 发 送 已 方 的 证 书 ， 彼 此 进行 身份 认证 ， 
安全 性 就 能 获得 更 高 的 保障 。 
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图 3.2.38 ”两 种 客户 端 认 证 机 制 
客户 端 认 证 的 连接 处 理 包括 服务 器 认证 及 其 他 相关 处 理 


除了 前 面 讲述 的 服务 器 认证 的 握手 处 理 之 外 ， 客 户 端 认 证 的 SSL 握手 
处 理 还 包括 请 求 客 户 端 证 书 和 对 客户 端 进行 认证 这 两 个 进程 。 
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图 3.2.39 ” 除 握 手 处 理 之 外 还 要 执行 对 客户 端 进行 认证 的 交互 处 理 

1 ~ 请 求 客 户 端 证 书 

首先 要 说 明 的 是 ， 从 一 开始 到 发 送 服务 器 证 书 的 Certificate 步骤 为 止 全 
都 和 服务 器 认证 的 步骤 一 样 。 但 接 下 来 ， 服 务 器 将 本 机 的 服务 器 证 书 发 
给 客户 端 之 后 ， 会 通过 Certificate Request 要 求 客户 端 也 将 客户 端 证 书 发 
送 过 来 ， 而 且 会 出 示 可 以 信任 的 CA 机 构 清 单 。 


请 把 你 的 证 书 
发 给 我 看 看 


Certificate 

下 “EE 

客户 端 : > Certificate 
A 僵 


如 果 是 这 家 CA 机 构 发 行 的 
证 书 就 没 问 题 





SSL 服务 器 


图 3.2.40 “要求 发 送 客户 端 证 书 

2 -， 发 送 客户 端 证 书 

作为 回应 ， 客 户 端 会 通过 Client Certificate 将 已 安装 到 本 机 上 的 客户 端 
证 书 发 送 给 服务 器 。 如 果 没 有 符合 服务 器 要 求 的 客户 端 证 书 ， 则 返回 
no_certificate， 然 后 服务 器 就 会 断 开 连接 ， 如 果 有 多 个 符合 要 求 的 客户 
端 证 书 ， 则 在 浏览 器 上 选择 其 中 一 个 发 送 。 








这 就 是 我 的 
A 
Client Co 
Certificate | = 中 
客户 端 曙 SSL 服务 器 
如 时 没有 合适 的 证 书 刚 运 可 查看 客户 烘 证 书 ， 判断 
no_certificate | 对 方 的 真实 身份 


图 3.2.41 ”发送 客户 端 证 书 
3 ” 验证 通信 对 象 的 身份 


客户 端 在 Client Key Exchange 中 将 预 主 密 钥 发 给 服务 器 ， 这 和 
通常 的 处 理 是 一 样 的。 然后 ， 再 通过 Certificate Verify 算出 从 Client 
Hello 到 Client Key Exchange 为 止 交 互 的 消息 摘要 ， 用 秘 钥 加 密 之 后 发 
给 服务 器 。 服 务 器 收 到 Certificate Verify 之 后 ， 用 通过 Client Certificate 
收 到 的 客户 端 证 书 中 所 含 的 公 钥 为 其 解密 ， 然 后 将 收 到 的 消息 摘要 和 上 自 
己 计 算出 来 的 消息 摘要 进行 对 比 ， 查 看 数据 是 否 被 算 改 过 ， 随 后 的 处 理 
es 党 处 理 一 模 一 样 。 最 后 ， 根 据 上 面 决定 的 信息 给 消息 加 密 然 后 发 








装 拭 秘 奶 把 消息 扰 恤 
如 窗 府 发 党 你 明 SSL 继 务 性 


A2 
| o= 
| | 
| | 栅 据 肯 至 演 前 发 
止 的 交 琢 生成 消 
复 愤 及 





相 据 乱 至 当前 汶 
什 的 交 于 蔗 成 滑 
气 杭 委 





得 湛 县 撤 委 钟 客 后 
发 送出 去 


图 3.2.42 ”将 截至 当前 为 止 的 两 个 消息 摘要 进行 对 比 
3.2.3 ”用 FTP 传输 文件 
正如 其 名 ，FTP (File Transfer Protocol， 文 件 传输 协议 ) 是 一 种 用 于 传 


输 文件 的 协议 。 尽 管 它 本 和 喘 并 不 具备 加 宅 功 能 而 无 法 保证 数据 安全 ， 但 
是 至 今 仍 在 很 多 地 方 广 为 使 用 。 





起 9 13.870789 192.158:31.25 192.165.1, 





由 Frame 9: 81 bytes on Wire (548 bitsy, Bi bytes capturad (648 bits) 
9 Ethernat H, Sre: Vmware_1b:27:4b (00:;0c:29:1b:27:4b), Dst: AsUstekC _c1:53:0b (ed0:cb:4e:c1:53:0b) 
BB Intermet protocol Version 4, Src; 192.168.1.25 (192.168.1.25), Dst; 192.168:1,20 (192.1658.1.20) 
BB Transmission Control Protocol, Src Port: 46044 (46044), Dst Port: ftp (21), Seq; 17, Ack: 76, Len: 15 
B Fle Transfer Protocol (FTP) 
粤 并 不 其 备 加 歇 功 能 ， 所 以 
一 览 无 你 








Request command: PASS (党 生生 灾 
Reouest ara: D5SSWord 


0020 01 14 b3dc00155d72 1d dfe009 09 89 8018 ..,... eres 
0030 01 Gd d6 51 00000101 080500028d cc002d Mm,B.,.. .,.,.,. 


50 41 53 5 2070 C737377 6f7264. 





图 3.2.43 FTP 本 映 并 不 具备 加 密 功 能 


完整 的 FIP 传输 是 将 两 种 连接 组 合 起 来 使 用 的 ， 一 种 叫 作 控制 连接 ， 
为 一 种 叫 作 数据 连接 。 控 制 连接 用 于 控制 应 用 程序 ， 人 们 用 它 发 送 命令 
或 返回 结果 ; 数据 连接 则 用 于 实现 真正 的 数据 传输 。 每 一 条 用 控制 连接 
发 出 的 命令 都 会 生成 相应 的 数据 连接 ， 在 数据 连接 上 收发 数据 。 





- 


SA 用 于 发 送 命 令 发 送 3 
客户 端 或 返回 结果 FTP 服务 器 





持续 生效 直至 
用 户 登 出 系统 


图 3.2.44 FTP 将 两 种 连接 组 合 起 来 使 用 


说 到 FTP， 必 须要 所 一 个 叫 作 传输 模式 的 重要 概念 。FTP 中 有 两 种 传输 
模式 ， 一 个 是 主动 模式 ， 为 一 个 是 被 动 模式 ， 二 者 生成 数据 连接 的 方式 
有 些 不 太一 样 。 下 面 ， 本 书 将 着 重 结 合 所 用 端口 号 和 连接 请 求 (SYN) 
方向 这 两 个 要 素来 介绍 数据 连接 。 


3.2.3.1 主动 模式 使 用 特定 的 端口 


FTP 的 主动 模式 是 指 在 控制 连接 中 使 用 TCP/21、 在 数据 连接 中 使 用 
TCP/20 的 模式 。 大 多 数 FTP 客户 端 软件 的 默认 设置 都 是 主动 模式 ， 在 
有 的 、Windows 标准 的 FTP 客户 端 功 能 中 甚至 只 有 这 
一 种 模式 。 


主动 模式 是 由 服务 器 方面 发 出 数据 连接 的 连接 请 求 SYN) 的 ， 是 一 种 
特殊 的 传输 模式 。 几 乎 所 有 的 主 从 式 《〈 和 客户 端 一 服务 圳 ) 架构 协议 都 是 





由 客户 端 肥 出 连接 请 求 ， 然 后 由 服务 器 方面 给 出 回复 。 然 而 在 主动 模式 
的 数据 连接 中 ， 这 个 执行 方 癌 恰恰 相反 ， 人 先是 由 服务 需 发 出 连接 请 求 ， 

然后 由 客户 问 给 出 回复 。 那 么 ， 我 们 就 假设 客户 端 需要 从 FTP 服务 器 

获取 某 个 文件 《RETR) ”， 来 看 看 实际 的 连接 步骤 是 怎样 的 。 








9 RETR 相当 于 HTTP 中 的 GET 方法 ， 下 载 文 件 时 要 用 到 它 。 








图 3.2.45 主动 模式 从 服务 器 一 方 开始 建 立 数据 连接 


1 客户 端 向 服务 器 提出 用 TCP/21 连接 的 请 求 ， 三 次 握手 结束 。 到 
这 里 还 只 是 建立 了 控制 连接 。 


2 -在 控制 连接 上 交换 用 户 名 和 密码 之 后 ， 客 户 闹 通过 PORT 命令 发 
送 用 于 数据 连接 的 端口 号 要 素 值 ， 该 值 以 "PORT<IP 地 址 >,x,y” 的 形式 
发 送 。 这 里 重要 的 并 不 是 耳 地址 而 是 x 和 y 的 值 ， 用 公式 “256*x 十 

y 算 出 来 的 值 就 是 数据 连接 的 目的 端口 号 ， 将 会 在 步骤 4 -中 使 用 。 


为 了 帮助 大 家 理解 ， 这 里 举 个 例子 解释 一 下 。 假 设 客户 端 已 通过 PORT 
命令 及 送 了 x 二 150、y 二 218 这 两 个 值 (如 下 图 ) ， 那 么 ， 即 将 建立 的 
数据 连接 的 目的 端口 号 就 是 150x256 十 218 一 38618。 








5 Ethernat II Sre: Vmware_1b:27:4b (00:0c:29:1b;27:4b), Det: AsustekC c1:53:0b (ae0:cb:4e:c1i:53:0b) 
1 Intemat Protocol Varsion #, Sre: 192,1698;,1,25(192,168,1,25), Dst; 192.168:1.20 (192.168.,1.20) 
| Transmission Control Protocol, Src Port: 46044 146044 Dst Port: Rp (21), Seq: 46, Ack: 135; Lan: 27 
|E File Trensfer Protocol (FTP 通过 PORT 全 信和 糙 后 
3 PORT 192,168,1,25]150,218F. 才 六 用 于 数据 连接 的 绚 旧 
Request command: PSRT 乞 潮 案 俏 通知 给 设 务 器 
| Request arg: 192,16€°1,25,150,218 
| 
| 
! 


Active iP address; 19 3 168,1.25 (192,168,1.25) 


ACEUVE pot ESE 


图 3.2.46 ”通过 PORT 命令 肥 送 数据 连接 的 端口 写 要 素 值 

※ 图 中 的 Active port 值 是 由 Wireshark 自动 计算 出 来 的 ， 这 个 值 不 会 发 送 给 服务 器 。 

3 客户 端 通过 控制 连接 癌 服 务 器 发 送 RETR (GET) 命令 。 

4 - 服务 器 收 到 RETR 命令 之 后 ， 在 源 端 口号 中 写 入 TCP/20， 在 目 
的 端口 号 中 写 入 通过 PORT 命令 算出 的 值 (256*x 十 y) 并 请 求 连接 。 这 
里 的 连接 请 求 是 关键 所 在 ， 它 是 由 服务 器 一 方 提出 来 的 。TCP/20 的 三 
次 握手 结束 之 后 ， 就 能 将 应 用 数据 发 送出 去 了 。 


5 应 用 数据 一 经 发 送 就 执行 TCP 断 开 处 理 ， 关 闭 数据 连接 ， 但 控 
制 连接 仍 继续 生效 。 


6 -~ ”最 后 在 用 户 登 出 系统 的 同时 执行 TCP/21 断 开 处 理 ， 关 闭 控 制 连 
接 。 至 此 ， 所 有 的 处 理 才 宣告 结束 。 


3.2.3.2 ”被 动 模式 改变 使 用 的 端口 


FTP 的 被 动 模式 是 指 在 控制 连接 中 使 用 TCP/21、 在 数据 连接 中 使 用 不 
特定 端口 的 一 种 模式 。 最 近 人 们 出 于 在 数据 安全 方面 的 一 些 考虑 ， 使 用 
这 种 模式 的 例子 逐渐 多 了 起 来 。 


被 动 模式 仅 当 客 户 端 通知 服务 器 它 处 于 被 动 模式 (PASYV 命令 ) 时 才 会 
启用 。 数 据 连 接 的 连接 请 求 (SYN) 是 从 客户 端 发 出 的 ， 从 这 一 点 来 
说 ， 几 乎 所 有 的 主 从 式 〈 客 己 中 一 服务 硕 ) 架构 协议 部 是 如 此 。 被 动 模 
式 的 关键 在 于 它 的 端口 号 ， 主 动 模式 一 定 会 用 TCP/20， 被 动 模式 则 会 
选择 非特 定 的 问 口 来 使 用 。 那 么 ， 我 们 就 假设 客户 端 需要 从 FTP 服务 
器 获取 东 个 文件 《RETR 命令 ) ， 来 看 看 实际 的 连接 步骤 是 怎样 的 。 


1 - 客户 端 向 服务 器 提出 用 TCP/21 连接 的 请 求 ， 三 次 握手 结束 。 到 
这 里 还 只 是 建立 了 控制 连接 。 


2 -， 在 控制 连接 上 交换 用 户 名 和 密码 之 后 ， 客 户 关 通过 PASYV 命令 提 
出 使 用 被 动 模 式 的 请 求 。 


针对 该 请 求 ， 服 务 器 会 返回 一 个 Entering Passive mode 的 提示 ， 同 时 发 
送 用 于 数据 连接 的 端口 号 要 素 值 ， 该 值 以 “Entering passive mode<IP 地 

址 >,x,y” 的 形式 发 送 。 这 里 重要 的 并 不 是 IP 地 址 而 是 x 和 y 的 值 ， 用 公 
0 目的 端口 号 ， 将 会 在 步骤 3 -~ 


为 了 帮助 大 家 理解 ， 这 里 举 个 例子 解释 一 下 。 假 设 客户 端 已 通过 
Entering passive mode 命令 发 送 了 x 二 212、y 二 174 这 两 个 值 〈 如 下 
图 ) ， 那 么 ， 即 将 建立 的 数据 连接 的 目的 端口 号 就 是 212x256 十 174 三 
54446。 














古 19 45.61194! 192,168,1.20 192.168,1,25 21 3720 


rr- 


ME Frams 19; T1656 bytes or wire (928 tc 116 Dyes Capturzd (90928 pts) 


y Ethemet H, Sre: AsustekC cc1:53:0b (e0:ch:4e:c1:53:0bD), Dst: Vmware 1b:27:4b (00:0c:29:1b:27:4b} 





B Fle Transfer Protocol [FTP) | 


S 227 Entering passive mode (192,168,1,200212,1740¥¥n 


Response code: Entering Passiye MoOde (22;.° 

Response arg: Entermg passive mode (192, .二 -通过 Ertering bassys mrode 侣 令 
passive Jp address; 192.168.1.20 (192.168 1 .20, 作 后 如 用 于 到 据 连 按 的 刘 口 把 要 来 
Passive port: [S3456 eres 值 通 如 锻 改 务 器 


图 3.2.47 通过 Entering passive mode 命令 发 送 数据 连接 的 端口 号 要 
系 值 


* 图 中 的 Passive port 值 是 由 Wireshark 自动 计算 出 来 的 ， 这 个 值 不 会 发 送 给 服务 器 。 


3 ”客户 并 使 用 控制 连接 向 服务 器 友 送 RETR 命令 。 然 后 在 目的 端口 
号 中 写 入 前 面 通过 Entering passive mode 命令 计算 出 来 的 端口 号 ， 提 出 
连接 请 求 并 生成 数据 连接 。 顺 便 提 一 句 ， 这 个 时 候 的 源 端 口号 是 随机 
和 这 样 就 能 在 数据 连接 上 发 送 
Ny 


4 应 用 数据 一 经 发 送 就 执行 TCP 断 开 处 理 ， 关 闭 数据 连接 ， 但 控 
制 连接 仍 继续 生效 。 


5 ”最 后 在 用 户 登 出 系统 的 同时 执行 TCP/21 断 开 处 理 ， 关 闭 控 制 连 
接 。 至 此 ， 所 有 的 处 理 才 宣告 结束 。 
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图 3.2.48 ”被 动 模式 从 客户 端 开 始 建立 数据 连接 

3.2.3.3 ETP 就 应 该 当 作 FTP 去 处 理 

FTP 是 一 种 比较 特殊 的 应 用 协议 ， 要 用 到 多 个 端口 号 的 各 种 组 合 。 因 
此 ， 如 果 我 们 在 防火 墙 或 负载 均衡 器 中 只 是 把 它 单纯 地 当 作 TCP 连接 


去 处 理 〈TCP/21、TCP/20) ， 很 可 能 会 产生 前 后 无 法 呼应 的 现象 。FTP 
就 应 该 当 作 FTP 去 处 理 ， 而 且 一 定 要 在 应 用 程序 的 层面 上 处 理 才 行 。 






5 了 火 太 
Untrust DMZ 
11.10/24 2.2.23.0/24 


巨 的 
商品 租约 从 | 运 认 





| 21 |50000 |22221111.1 


部 后 夫人 允许 TQPI21， 
也 无 法 韦 训 数据 连接 - 





图 3.2.49 如果 将 FTP 当 作 TCP 去 处 理 ， 很 可 能 会 产生 前 后 无 法 呼应 
的 现象 


“FTP 就 应 该 当 作 FTP 去 处 理 ， 而 且 一 定 要 在 应 用 程序 的 层面 上 处 理 ? 这 
名 话 听 起 来 似乎 有 些 高 深 ， 但 其 实 工作 原理 并 没有 那么 复杂 。 这 里 所 说 
的 “应 用 程序 的 层面 * 可 以 理解 为 FTP 命令。 防火 墙 和 负载 均衡 器 监控 着 
通过 PORT、PASV 和 Entering passive mode 命令 交互 的 端口 号 信息 ， 
同时 也 一 直 在 动态 地 等 待 着 后 续 需 要 处 理 的 数据 连接 。 只 要 收 到 数据 连 
接 的 SYN 包 ， 它 们 就 会 马上 用 等 待 端口 去 进行 处 理 。 


“将 FTP 当 作 FTP 处 理 * 还 涉及 一 个 功能 ， 那 就 是 保持 控制 连接 的 功 

能 。 我 们 通过 数据 连接 传输 数据 的 时 候 ， 控 制 连接 是 用 不 上 的 。 然 而 ， 
如 果 传输 的 数据 很 大 导致 耗 时 较 长 ， 那 么 控制 连接 可 能 会 因为 连接 空闲 
时 间 超过 一 定 限度 而 断 掉 。 为 了 避免 出 现 这 种 情况 ， 人 们 想 办 法 做 了 一 
些 处 理 ， 让 控制 连接 的 连接 空闲 时 间 在 传输 数据 的 过 程 中 绝 不 会 超过 时 








间 限 制 。 


谈 到 防火 墙 或 负载 均衡 器 中 的 设置 ， 其 实 几 乎 所 有 的 设备 中 都 定义 了 用 
于 识别 FTP 的 信息 (配置 文件 ) 。 而 且 ， 有 些 设备 只 要 收 到 来 自 
TCP/21 的 连接 就 会 将 其 当 作 FTP 处 理 。 如 果 我 们 让 这 些 设置 都 生效 ， 
设备 就 会 主动 去 查看 命令 内 容 并 执行 各 种 处 理 。 
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| 3.2.50 对 ETP 施 以 它 作 为 FTP 本 应 承受 的 处 理 〈 图 为 防火 墙 的 示 
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图 3.2.51 让 控制 连接 的 连接 空 亲 时 间 不 会 超时 
3.2.4 用 DNS 解析 名 称 


DNS (Domain Name System， 域 名 系统 ) 是 一 种 用 于 解析 名 称 的 协议 。 

互联 网 上 分 布 着 众多 卫 地 址 ， 但 是 我 们 不 可 能 为 了 浏览 网 站 而 去 一 一 

记 住 IP 地 址 的 那些 长 串 数 字 。DNS 就 是 为 了 解决 这 个 问题 应 运 而 生 

的 ， 它 为 每 个 IP 地 址 都 取 了 域名 ， 这 样 人 们 记忆 起 来 就 容易 多 了 。 关 

于 DNS 的 构造 以 及 应 该 如 何 设置 服务 器 这 些 深层 次 的 内 容 ， 笔 者 建议 

I 
JyJ1 


DNS 会 根据 不 同 的 用 途 选 择 使 用 UDP 或 TCP。 二 者 都 属于 普通 常见 的 
连接 ， 下 面 我 们 来 看 看 它们 分 别 用 于 什么 场合 。 


3.2.4.1 用 UDP 进行 名 称 解 析 


名 称 解 析 一 般 会 先 于 网 络 、 邮 件 等 应 用 通信 进行 ， 因此 速度 是 百 够 快 非 
和 重要 。UDP 的 实时 性 很 高 ， 人 们 在 追求 速度 时 往往 会 选择 它 。 其 

实 ， 我 们 在 浏览 器 上 查看 网 站 内 容 时 ， 并 不 是 通过 该 网 站 的 HTTP 直接 
进行 访问 的 。 另 外 ， 我 们 在 发 送 邮 件 的 时 候 ， 也 不 是 直接 把 邮件 发 送 给 

















邮件 服务 器 的 。 这 两 种 情况 都 必须 先 经 过 一 个 叫 作 名 称 解析 的 步 又。 





.0 的 忆 地 址 是 多 少 ? 
[一 四 
客户 油 | : Ed 


本 
EEEEETEEETEEEEEEEEEEEEE 


图 3.2.52 ”名称 解析 通过 UDP 追求 实时 性 
1 ， 客户 端 发 通过 UDP 的 DNS 包 向 DNS 服务 器 查询 域名 。 


1 Frame ET 75 byeson wre (Ho0 DW), 75 bytes csptured (S00 bs) 
由 Ethernet H, Sre: AsustekC ci:53:0b (e0:cb:4e:c1:;53:0b), Dst: Buffalo. 86:;56:19 (00:1d:73:8e:a6 





让 User Datsgram Protocol, Sre Port; 62399 (62399), Dst Port: domain (53) 
| B Domain Neme System (query) 
[Response in: 88] 
Transaction ID; 0x0002 
由 Flags; Ox0100 Standard query 
Questions: 1 
Arnsver RRe; D 
Authority RRs;: D 
Additional RRs: 0 


通过 UDP 请 求法 析 名 乏 、 
< Dp 6 和 





图 3.2.53 ”通过 UDP 请 求解 析 名 称 


2 -~ DNS 服务 器 中 有 区 域 文件 ，IP 地 址 和 域名 信息 就 以 区 域 文件 的 
形式 保存 在 其 中 。 收 到 查询 后 ，DNS 服务 器 从 该 文件 中 找到 相应 的 IP 
地 址 并 将 其 返回 给 客户 端 。 





[E 
E Bhernet I Src: Buffalo 8E:a6: a Dst: pp _C1:53:0b (€0:cb:4e:c1:53:0b) 
用 INntermaet protocol Version 4, Sec: §:8,9.8.{(8.8,8,8), Det: 192.169.1,.20 (192.169.1.20) 
B User Datogrem Protocol, Src Part domain (53), Dat Port: 62399 (62399) 
B Domoain Name System (response) 
[Raauest In: 87] 
ITime: 0.039823000 seconds] 
Transacbon 1D: Ox0002 
四 Flags: Ox8180 Standard query response, No etror 
Questions; 1 
Answer RRS; 2 
Authority RRs; D 
Additonal RRs: 0 
S Quenes 
BB www,yahoo.co.ip: type A, cless IN 


通过 VDP 返 司 访 地 址 
Name: www.yahoo.coJp 1 此 后 是 二 告 知客 疡 庙 wwwyahoocoip 
Type: A (Host address) 的 护 地 址 为 203,216.243.240) 
Class: IN (0x0001) 
3 Answers 


SWwww.yahoo.co.Ip: type CNAME, clsss IN, cname wwWw.g.yahoo;co,p 
Name: www.yahoo.co,ip 
Type: CNAME (Canonicsl name for an aliss) 
Class; IN (0x0001) 
Time to lve: 14 minutes, 35 seconds 
Dats length; 8 
Primaryname: WWWw,g,yahoo,co.ip 
SIwww.g,yahoo.co,jp: type Ai class IN, addr 203,216,243.240 
Name:; www,g,yahoo,co.ip 
Type: A (Host address) 
Clsss: IN (0x0001) 


Time to le: 35 seconds 
bata length: 4 
Addr 203,215.,243.240 (203.215,243.,240) 





图 3.2.54 通过 UDP 返回 IP 地 址 
3 客户 端 通过 HTTP 访问 该 卫 地 址 或 者 发 送 邮 件 。 
3.2.4.2 用 TCP 进行 区 域 传 输 


DNS 古 很 多 应 用 程序 的 幕后 英雄 ， 是 非常 重要 的 应 用 协议 ， 在 这 里 发 
生 问 题 的 话 就 无 法 进入 后 续 的 应 用 通信 阶段 ， 所 以 人 们 一 般 会 对 DNS 
服务 器 进 行 几 余 配置 以 作证 稳定 地 提供 名 称 解 析 服 务 。 区 域 传 输 就 是 用 
于 DNS 服务 器 几 余 正午 的 一 项 功能 。DNS J 
存 着 IP 地 址 和 域名 信息 寺 轧 ， 区 域 传输 就 是 用 来 同步 此 文件 的 功能 。 

区 域 传输 功能 在 主 服 务 器 和 从 属 服务 器 之 间 同 步 区 域 文 件 ， 此 来 保证 
风 余 效果。 主 服务 器 如 果 宕 机 ， 就 通过 从 属 服务 器 的 区 域 文 件 给 出 回 








复 。 区 域 传 输 并 不 需要 实时 进行 ， 对 它 来 说 可 靠 性 才 是 最 重要 的 ， 因 此 
人 们 一 般 选 择 使 用 TCP 来 实现 这 个 功能 ， 具 体 步 又 如 下 图 所 示 。 请 注 
意 ， 这 里 画 的 只 是 DNS 服务 器 的 事实 标准 一 一 BIND 软件 的 工作 机 制 。 
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请 把 SOA 记 录 |; | DNS Query CE : 1 SOA 
| 一 


5 | 同 攻 
> esponse | 


主 DNS 
服务 器 


从 属 DNS 


服务 器 : 
: | DNS Query 一 
: | (AXFR) 


请 把 区 域 文件 “- 
发 给 我 : 人 






DNS 
Response 





图 3.2.55 ”用工 CP 进行 区 域 传输 


1 当 区 域 文件 的 有 效 期 已 过 或 是 收 到 notify 消息 时 ， 从 属 服务 器 会 
通过 UDP/53 请 求 主 服务 器 发 送 SOA 记录 。SOA 记录 中 包含 着 DNS 服 
务 器 的 管理 信息 。 





Nt Frama Sd: BZ hytas on wre(c eo bne), Bz bytes captured (656 bts) 
川田 Ethernet H, Ste: Vmware_62:¢3:b9 (00:0¢:29:62:c3:b0), Dst: Vmware_1b:27:sb (00:0c:29:1b:27:4b) 
让 Intemet protocol Version 4, Sre: 192.168,1.26€(192.168,1.25), Dst: 192.168.1,25 (192.168.1,.25) 
User Datadrar Protocol, Sre Port 9198 {9198), Dst Port: domain (53 
日 Domain Name System (query) 
[Responss In: 100] 
Transoction ID;: 0x31c5 


3 Flags: 0x0000 Standard query 


Questions; 1 
ANnswer RRs: 0 
Authority RRs; DO 
Additional RRs: 1 








图 3.2.56 ”先是 通过 UDP 请 求 发 送 SOA 记录 


2 ~” 主 服务 器 通 
务 器 


志 i100 $6. 101631 192.355 168.1. 25 192.168.4,26 53 9198 DNS 191 Sardard QUery response Ale SOAn. 








nu Frome 100: 191 bas on wre(1528 by, 151 bytes coptursd (1525 brs) 


Ethernet H, Sre: Vmware_1b:27:4b (00:0c:29:1b:27:4b), Dst: VMware -62:c3:b0 (00:0c:29:62:c3:b0) 
四 1 Intemet Protocol Versior 4, Src: 192.158. 1.25 {192.169.1.25), Dst: 192.168,1.25 {192.168,1.25) 





3 Domain Name System Cs 
[Renuest In: 99] 
[Time: 0.000488000 seconds] 
Transaction ID: Ox31c5 

® Flags: Ox8480 Standard query response, No errar 
Questions: 1 
Answer RRs; 1 
Authonty RRs; 2 
Additional RRs; 3 

3 Queries 

| SS exsmple.com: type 5OA class IN 


Type: SOA (Start of zone of authority) 通过 UBP 返回 SOA 
Cliass; IN (0x0001) 记 受 的 信息 
日 Answers 


Name: example,com 


Sexsmple.com: type SOA, ciess IN, mname nsl.sxamplecom 


a 


Name: exarmple,com 

Type: SOA (Start of zone of authority} 
Class: IN (Ox0001) 

Time to lve: 7 days 

Data length: 33 

Primary Neme server: nsl.exompls.com 


Responsible authoritys maibox: info.sxampis.com 
a Number: 2013100503 TE ey 
Refresh Interval; 604800 (7 days) 通过 | 序列 号 童 看 原本 i 
Retry INterval; 85400 (1 day) 

Expire limit; 2419200 (28 days) 


Minimum TTL: 604800 (7 days) 











图 3.2.57 


通过 UDP 返回 SOA 记录 


过 UDP/53 将 区 域 文件 中 的 SOA 记录 返回 给 从 属 服 





3 ”从属 服 务 器 收 到 SOA 记录 之 后 会 查看 其 中 的 序列 号 。 序 列 号 代 


表 区 域 文件 的 版 本 编号 ， 从 属 服务 器 如 果 发 现 有 新 的 区 域 文 件 〈《 有 高 于 
目 身 版 本 的 区 域 文 件 ) 存在 ， 就 会 通过 TCP/53 请 求 主 服务 器 进行 区 域 


传输 。 


ee cr bo (00:0c:29; 652; oy Dst: Te 1b:27:4b (00:0¢c;29:1b:27:4b) 


| Internet Protocol Version 4, Sre: 192.168.3.26{192.168.1.26), Dst: 192:168.1.25 {192:1658.1.25 





BB Domain Neme Systaem (query) | 
| {essponsein: 108] | 
外 Langth:; 29 | 
| Transaction 1D; 0x9a9e 外 
目 四 Flags: 0x0000 Standard query | 
| Qusstons: 1 外 
An5wer RRs: D | 
| Authority RRs: O I| 
| Additional RRs: 0 | 











图 3.2.58 ”请 求 主 服 务 器 进行 区 域 传输 








' Ethemet IH, Sre: Vmware_1b:27:4b (00:;0c:29:1b:27:4b), Dst: Vmware. 62:€3:b0 (00;0¢c129:62:c3:b0) 


DIntermet Protocol Version 4, Stc: 192.168.1.25) 192.168.1. : Dst: 192.168.1,26 192.168:1. 6 





[Time; 0.000557000 seconds] 
Length: 248 
Transaction ID: 0x9a9e 
四 Flags: Ox8480 Standard query response, No error 
Questions: 1 
Answer RRs: 10 
Authority RRs: 0 
Additional RRs: 0 
S Quaries 
B sexsmple.com: type AXFR, ciass IN | 
| Neme; xomple.com | 
| Type: AXFR (Request for full zone transfer) 
Class: IN (0x0001) 
BS Answers 
由 example.com: type SOA, class IN, mname ns1l.example,com 
EE example.com: type NS, class IN, ns nsi,example.com 
BB exampile.com: type NS, tlass IN, ns ns2.example.com 
exasmple.com: type A, cisss IN, sddr 192.168.1.25 
BB exsmple.com:; type A, class IN, addr 192.168.,1.26 
WW nsl.example,com: type A, lass IN, addr 192,168,1.25 
EE ns2.axample.com; type A, class IN, addr 192,169,1,.268 
] @ wwwl.exomple.com: type A, cisss IN, addr 192.1658,1.20 
田 www2,example.com; type A, class IJN, addr 192.158.1.21 
] E exsmple.com: type SOA, cass IN, mname nsi.exsmple.com 














图 3.2.59 ”通过 TCP 返回 区 域 信 息 


3.3 数据 安全 设计 与 负载 均衡 设计 


到 此 为 止 ， 我 们 已 经 学 习 了 从 传输 层 到 应 用 层 的 各 种 技术 和 设计 规格 
(协议 ) 。 接 下 来 ， 本 书 将 从 实用 性 的 角度 讲解 如 何在 服务 器 端 使 用 这 
些 技术 ， 以 及 我 们 在 设计 和 以 构 网 站 时 必须 注意 的 一 些 事项 。 


3.3.1 数据 安全 设计 


首先 我 们 来 看 数据 安全 设计 。 在 这 里 ， 我 们 要 考虑 的 是 如 何 配置 安全 区 
域 以 及 如 何 确保 数据 安全 。 用 户 和 系统 管理 人 员 奶 求 的 数据 安全 是 在 不 
晰 变化 的 ， 因 此 我 们 应 该 制定 出 一 套 容 易 理 解 、 简 明 扼 要 的 安全 休 略 ， 
使 之 无 论 何 时 、 无 论 遇 到 怎样 的 要 求 都 能 够 应 付 目 如 。 


3.3.1.1 整理 出 真正 需要 的 通信 


数据 安全 设计 中 最 关键 的 一 点 是 理 清 通信 和 需求。 这 里 所 说 的 通信 和 需求 是 
指 要 从 哪里 ( 源 ) 向 哪里 (目的 ) 进行 怎样 的 通信 (协议) 。 我 们 应 整 
理 出 这 项 需求 的 具体 内 容 ， 并 将 它们 落实 到 防火 墙 的 安全 策略 中 去 。 不 
同 的 网 站 有 大 不 同 的 通信 需求， 如 果 通 信和 需求 的 数量 偏 少 ， 不 妨 参 考 一 
下 表 3.3.1 中 的 形式 进行 统一 管理 ， 方 便 日 后 查询 。 


表 3.3.1 将 通信 和 需求 整理 成 表格 ， 方 便 日 后 查询 

















EA 
RE 服务 器 | 公司 内 部 服务 器 VLAN 
”| mAN 专 | :半生 
e 外 部 DNS 服务 器 和 I 服务 妆 公司 肉 剖 用 | 公司 内 况 和 开 
“外 部 邮件 服务 器 ”| 。 内 好 代理 服务 
e 外 部 代理 舰 务 崇 > 


se NIP 了 服 劳 冰 


HTIP ( TCP/8D ) 
HTTPS ( TCP/443 ) 
DNS [ YUDP/SS3 } 
SMTP ( TCP/25 } 


= 内 部 邮 件 服务 咒 


HTTP { TCP/80 ) 

公开 服务 小 HTTPS [ TCP/443 ) 

VLAN “| DNS { UDP/53 ) SMTP { TCP/25 ) 
SMTP (TCP/25 ) 


NTP ( UDP/123 ) 


Proxy | TCP/8080 ) 
公司 内 部 服 DNS { UDP/53 ) 
务 络 VLAN SMTP { TCP/25 ) 

NTP ( UDP/123 ) 


Proxy ( TCP/8080 | 
公司 内 玲 弄 SMTP { UDP/25 ) 
户 VLAND POP [ TCP/110 ) 
AD 相关 (TCP/UDP) 


Proxy ( TCP/8080 ] 
公司 内 部 开 SMTP (UDPZ25 ) 
户 VLAN(Z POP [ TCP/110) 

AD 相关 (TCP/UDP ) 








※ 考虑 到 排版 问题 ， 表 中 内 容 略 有 简化 。 
定义 安全 区 域 


安全 区 域 指 处 于 同一 数据 安全 水 平 的 VLAN 群 。 实 际 上 这 个 区 域 要 用 

到 一 些 彼此 之 间 稍 有 差异 的 安全 策略 ， 所 以 并 不 是 完全 统一 的 ， 但 将 它 
们 粗略 地 划分 一 下 会 让 人 更 容易 理解 。 我 们 应 根据 前 面 理 清 的 通信 需求 
进一步 整理 出 几 个 不 同 的 数据 安全 水 平 ， 然 后 将 它们 分 别 定 义 成 不 同 的 
区 域 。 设 计时 将 各 区 域 明确 定义 好 ， 将 来 就 不 必 做 大 量 的 设置 修改 ， 管 
理 起 来 会 轻松 很 多 。 人 们 一 般 将 数据 安全 水 平分 成 三 个 区 域 来 管理 ， 分 
别 是 Untrust 区 域 、DMZ 区 域 和 Trust 区 域 ， 下 面 就 针对 这 三 个 区 域 逐 
一 进行 讲解 。 








Untrust 区 域 


Untrust 区 域 位 于 防火 墙 外 侧 ， 是 不 可 信任 的 区 域 。 三 个 区 域 中 数 

它 的 数据 安全 水 平 最 低 ， 不 适合 配置 各 种 服务 器 ， 事 实 上 也 绝 不 能 
将 服务 器 配置 到 这 里 。 如 果 网 站 需要 设置 一 人 台 在 互联 网 上 公开 的 服 
务 器 ， 那 么 我 们 可 以 认为 Untrust 区 域 和 互联 网 就 是 一 回 事 。 防 火 

青 是 为 了 防止 系统 受到 来 自 Untrust 区 域 的 网 络 攻击 而 存在 的 。 


DMZ 区 域 


DMZ 区 域 相 当 于 Untrust 区 域 和 Trust 区 域 之 间 的 一 个 缓冲 层 。 它 
的 数据 安全 水 平 比 Untrust 区 域 高 ， 比 Trust 区 域 低 ， 恰 好 位 于 中 间 
地 段 。 人 们 在 DMZ 区 域 配置 与 Untrust 区 域 直接 进行 交互 的 公开 
服务 器 ， 如 公开 Web 服务 器 、 外 部 DNS 服务 器 、 代 理 服务 器 等 。 
由 于 不 特定 的 大 量 用 户 会 来 访问 这 些 服 务 器 ， 所 以 从 数据 安全 的 角 
度 来 说 ， 公 开 服 务 器 是 非常 危险 的 ， 有 可 能 受到 形形色色 的 恶意 攻 
击 甚至 遭 到 劫持 。 不 怕 一 万 ， 就 人 万 一 ， 为 了 将 不 恨 影 啊 降 到 最 低 
程度 ， 我 们 要 控制 它 和 Trust 区 域 之 间 的 通信 。 


Trust 区 域 
Trust 区 域 位 于 防火 墙 内 侧 ， 是 可 以 信任 的 区 域 。 三 个 区 域 中 数 它 


的 数据 安全 水 平 最 高 ， 我 们 应 不 惜 一 切 代价 去 保护 它 。 非 公开 服务 
人 名 和 公司 内 部 用 户 都 配置 在 这 个 区 域 里 。 
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图 3.3.1 定义 安全 区 域 
将 通信 要 素 分 组 管理 


理 清 需要 怎样 的 通信 之 后 ， 我 们 应 该 提取 出 其 中 的 要 又 (IP 地 址 、 网 
络 、 ee 乍 一 看 这 项 工作 没有 任何 
意义 ， 但 实际 上 它 对 今后 的 运行 管理 起 着 非常 重要 的 作用 。 


提取 要 素 并 进行 分 组 管理 ， 这 上 听 起 来 也 许 有 些 复杂 。 为 了 帮助 大 家 理解 
这 一 步 又， 下 面 举 一 个 网 络 设计 中 十 分 常见 的 例子 来 说 明 。 假 设 Trust 
区 域 中 有 五 个 公司 内 部 用 户 YLAN， 而 我 们 需要 人 允许 它们 通 往 互联 网 
CUntrust 区 域 ) 的 所 有 通信 。 这 时 候 ， 一 般 人 都 会 想到 这 个 办 法 : 先 
将 这 五 个 公司 内 部 用 户 VLAN 定义 成 网 络 对 象 ， 然 后 制定 五 个 访问 控 
制 的 策略 。 但 是 这 个 办 法 有 一 个 缺点 ， 那 就 是 每 增加 一 个 用 户 VLAN,， 
就 要 相应 地 增加 一 个 访问 控制 策略 ， 这 会 导致 运行 管理 效率 低下 。 我 们 





不 妨 换 一 个 思路 ， 将 五 个 公司 内 部 用 户 VLAN 定义 成 一 个 组 ， 然 后 允 
许 该 用 户 VLAN 组 通 往 互 联网 的 所 有 通信 。 这 样 ， 即 使 用 户 VLAN 不 
断 增 加 ， 我 们 也 只 需 在 该 组 中 添加 新 的 网 络 对 象 即 可 ， 不 必 一 个 个 地 去 
制定 访问 控制 的 策略 。 人 
该 充分 利用 分 组 这 个 办 法 来 实现 高 效 的 运行 管理 








一 个 个 单独 去 设 壮 的 活 ， 
规则 只 会 越 来 越 多 


| 公司 内 部 用 户 
上 | ”VLAN 组 


图 3.3.2 通过 分 组 管理 简化 规则 


分 组 管理 中 有 两 个 容易 被 忽视 的 重要 环节 ， 那 就 是 设置 时 要 用 到 的 对 象 
作风 8 名 规则 ， 这 对 今后 的 管理 
大 有 神 荔 ， 也 能 玫 助 未 来 接 苦 的 管理 人 员 迅 速 掌 握 情 况 。 


选择 合适 的 访问 控制 各 略 


理光 通信 需求 开 分 好 组 之 后 ， 我 们 就 要 决定 合 适 的 访问 控制 集 略 了 ， 具 
体 说 来 惑 是 要 决定 允 计 哪些 通信 、 拒 绝 哪些 通信 以 及 允许 的 话 要 允许 多 
少 、 拒 绝 的 话 拒绝 多 少 通信 。 如 果 只 允许 最 低 限 度 的 必需 通信 当然 会 很 
安全 ， 但 这 种 情况 的 管理 会 非常 麻烦 。 数 据 安 全 水 平和 运行 管理 的 作业 














时 间 基 本 上 是 成 正比 的 ， 前 者 越 高 ， 后 者 就 越 长 。 因 此 我 们 需要 综合 考 
虑 多 方 因 素 ， 选 择 整体 上 比较 均衡 的 策略 。 

一 般 说 来 ， 如 果 通 信 的 方向 是 从 数据 安全 水 平 较 低 的 区 域 到 较 高 的 区 域 
(例如 从 Untrust 区 域 到 DMZ 区 域 或 从 DMZ 区 域 到 Trust 区 域 ) ， 我 
们 只 能 允许 最 低 限 度 的 必需 通信 通过 ， 如 果 是 相反 方向 的 通信 则 可 以 适 
当地 放宽 限制 。 


Untrust 区 域 
( 数据 安全 水 平 较 低 ) 


只 允许 最 低 限度 的 使 考虑 规则 的 时 候 
必需 通信 通过 适当 地 放宽 限制 


DMZ 区 域 
( 数据 安全 水 平 居中 ) 


只 人 允许 最 低 限度 的 券 虑 规则 的 时 候 
必需 通信 通过 时 会 适当 地 放宽 限制 





图 3.3.3 ”如 果 通 信 的 方向 是 从 数据 安全 水 平 较 低 的 区 域 到 较 高 的 区 
域 ， 只 能 允许 最 低 限度 的 必需 通信 通过 


3.3.1.2 ”通过 多 级 防御 提高 安全 系数 


最 近 的 防火 墙 新 增 了 不 少 功能 ， 如 果 光 是 翻 看 使 用 手册 ， 简 下 会 让 人 以 
为 防火 墙 是 无 所 不 能 的 。 不 过 ， 防 火 墙 的 监控 对 象 毕 苋 仅 限于 那些 要 经 
过 防火 增 的 通信 ， 人 们 也 不 可 能 将 所 有 的 功能 都 集中 在 防火 增 恒 上 ， 所 
以 我 们 应 该 做 的 是 将 防火 墙 和 专用 的 设备 、 专 用 软件 搭配 使 用 以 形成 多 
级 防御 ， 保 护 系统 不 受 侵害 。 多 级 防御 是 数据 安全 的 根本 原则 ， 在 这 方 
面 我 们 绝 不 能 马虎 行事 、 邱 以 轻 心 。 


仔细 其 酌 需 要 使 用 哪些 功能 





前 面 已 经 提 到 过 ， 最 近 出 现 了 一 种 UTM 形式 的 新 型 防火 墙 ， 兼 具 多 种 
功能 。 然 而 这 种 防火 墙 是 一 把 双 为 剑 ， 功 能 太 多 以 至 于 性 能 极其 低下 。 
在 东 些 场合 ， 和 只 作 通 信 控 制 时 的 吞吐 量 相 比 ， 这 种 防火 墙 在 所 有 功能 
都 被 激活 时 的 吞吐 量 仅 为 前 者 的 十 分 之 一 。 无 论 是 什么 设备 都 有 目 己 的 
强项 和 弱项 ， 我 们 不 能 将 所 有 的 功能 部 交 给 UTM 防火 增 去 实现 ， 而 应 
该 找 出 最 适合 它 去 执行 的 功能 ， 不 足 之 处 则 让 专用 的 设备 和 专用 软件 去 
弥补 ， 将 它们 混搭 使 用 以 达到 博 采 众 家 之 长 的 目的 。 


另外 ， 在 选择 功能 的 时 候 还 应 该 考虑 该 功能 以 往 的 实际 使 用 情况 如 何 。 
如 果 不 加 调查 就 后 用 新 增 的 功能 ， 很 可 能 会 遇 到 重大 缺陷 ， 最 终 导 致 容 
机 。 对 于 系统 来 说 稳定 性 是 最 重要 的 ， 所 以 我 们 必须 鹿 慎 局 用 新 功能 ， 
务必 在 弄 清 它们 的 实际 使 用 情况 是 否 值 得 信任 之 后 再 作 决 定 ， 以 免 沦 为 
无 长 的 牺牲 品 。 


Me 肌 病 寿 | | 将 其 中 几 项 埠 能 安 闪 
SSE-VPN) 装置 。 | | 专用 的 设备 去 执行 


个 i 如 果 将 所 有 功能 者 汶 
策 ， 纺 火 墙 的 性 能 就 
会 大 大 位 低 














UTM ( Unified Thraat Meanagement 





图 3.3.4 将 不 同 的 功能 混搭 使 用 
3.3.1.3 ”默认 启动 的 服务 应 控制 在 最 小 范围 内 


网 络 设 备 的 默认 设置 会 启动 很 多 服务 ， 这 可 能 会 导致 设备 容易 受到 恶意 
攻击 。 例 如 ， 在 思科 公司 的 交换 机 和 路 由 器 中 ， 管 理 方面 的 一 些 服务 是 
默认 为 开启 的 ， 包 括 HTTP 服务 和 Telnet 服务 等 ， 因 此 HTTP 访问 和 
Telnet 访问 都 不 会 受到 阻碍 ， 然 而 这 也 导致 了 这 些 设备 易 受 攻击 的 一 
面 。 为 了 规避 这 类 风险 ， 我 们 应 将 启动 的 服务 控制 在 所 需 的 最 小 范围 
内 ， 保 护 设 备 不 受 恶 意 攻击 。 当 然 ， 从 管理 的 角度 上 看 有 些 服务 是 不 可 
关闭 的 ， 遇 到 那样 的 情况 ， 我 们 应 该 对 能 够 访问 的 网 络 进行 限制 ， 将 可 
能 发 生 的 不 良 影响 控制 在 最 小 范围 之 内 。 











人 


关闭 非 必需 的 
六 1 
通过 限制 源 |P 去 精简 运行 管理 公司 内 部 
真正 所 需 的 服务 访问 VLAN 用 户 VLAN 
图 3.3.5 默认 启动 的 服务 应 控制 在 最 小 范围 内 
3.3.2 ”负载 均衡 设计 


下 面 我 们 来 看 负载 均衡 设计 。 在 这 里 ， 我 们 要 考虑 的 是 如 何 均 衡 分 配 应 
用 程序 的 信息 流量 人 负 丛 ， 以 及 在 哪个 层面 上 进行 该 分 配 。 最 近 人 们 开 友 
出 来 的 绝 大 多 数 应 用 程序 都 能 够 在 网 络 上 流通 使 用 ， 这 使 得 网 络 信息 流 
量 持 续 猛 增 。 与 此 同时 ， 通 信 本 里 也 在 变 得 更 为 多 元 化 。 如 何 合理 地 分 
配 日 益 增 多 的 信息 流量 、 使 负 答 能 够 均衡 分 配 ， 对 系统 来 说 是 一 个 非 第 
重要 的 问题 。 


3.3.2.1 ”要 高 效 地 均衡 负载 


负载 均衡 设计 中 最 关键 的 一 点 是 理 清 应 用 程序 层面 的 通信 需求 。 对 于 在 
数据 安全 设计 中 整理 出 来 的 “从 哪里 向 哪里 进行 怎样 的 通信 ”的 具体 内 
容 ， 我 们 应 在 负载 均衡 设计 中 将 它们 落实 到 应 用 程序 的 层面 上 去 。 


整理 出 真正 需要 均衡 负载 的 通信 


并 不 是 所 有 的 通信 都 需要 进行 负载 均衡 。 首 先 ， 我 们 应 该 从 前 面 整理 好 
的 通信 中 挑选 出 真正 需要 进行 负载 均衡 的 对 象 。 如 果 是 在 互联 网 上 公开 
的 网 站 ， 那 么 一 般 要 对 配置 在 DMZ 区 域 的 公开 服务 器 进行 负载 均衡 ， 
0 0 3 
街 分 配 。 


整理 出 应 用 程序 层面 的 通信 类 型 


























最 近 的 负载 均衡 希 多 为 应 用 交付 控制 器 的 形式 ， 应 用 程序 层面 的 控制 比 
以 往 更 加 灵活 ， 应 用 程序 开发 人 员 的 要 求 也 变 得 更 加 多 元 化 了 。 下 面 我 
们 来 逐一 看 下 具体 的 要 求 。 


这 里 最 关键 的 一 点 在 于 是 合 需 要 会 话 保 持 。 负 载 均衡 器 的 工作 原理 是 将 
连接 分 散 到 多 个 服务 器 上 ， 以 此 来 均衡 负荷 ， 但 是 这 种 分 散 处 理 很 可 能 
会 引起 应 用 程序 前 后 无 法 呼应 的 不 良 后 果 。 所 以 ， 我 们 一 定 要 仔细 其 酌 


日 
征 合 








真 的 需要 会 话 保 持 。 如 果 回 答 是 肯定 的 ， 那 么 接 下 来 束 要 确定 使 用 


哪 种 会 话 保持 以 及 采用 什么 时 效 值 。 


会 话 保持 的 种 类 


常用 的 会 话 保持 有 两 种 ， 分 别 是 源 IP 地 址 会 话 保持 和 Cookie 会 话 
保持 (Insert 模式 ) ， 这 在 3.1.3.2 节 中 已 经 介绍 过 了 。 源 卫 地 址 会 
话 保持 属于 网 络 层 的 处 理 ， 无 需 考 虑 应 用 程序 。Cookie 会 话 保持 则 
需要 执行 一 个 应 用 程序 层面 的 处 理 ， 即 HTTP 报头 插入 处 理 ， 如 果 
选择 它 来 实施 会 话 保 持 ， 我 们 还 需要 做 一 些 测试 以 确保 该 处 理 对 应 
用 程序 没有 影响 。 


超时 时 限 


会 话 超时 要 比 应 用 程序 超时 时 限 稍 长 才 行 。 太 短 的 话 ， 应 用 程序 在 
超时 之 前 就 被 分 配 到 别 的 服务 费 上 去 了， 这 会 导致 应 用 程序 前 后 无 
法 呼应 ， 反 过 来 ， 太 长 的 话 ， 保 持 记录 不 仅 坚 无 意义 ， 还 会 额外 地 
消耗 负载 均衡 右 的 资源 。 所 以 在 时 效 值 这 方面 ， 我 们 也 必须 仔细 确 
认 超 时 的 话 设 备 会 有 怎样 的 反应 。 如 果 只 做 几 个 简单 的 测试 就 收 
场 ， 看 到 负载 均衡 和 会 话 保持 成 功 束 以 为 万 事 大 吉 ， 那 么 到 后 面 很 
有 可 能 束 会 吃 大 再 尖 。 

















图 3.3.6 根据 应 用 程序 超时 时 限 设 置 会 话 超时 
确定 将 健康 检查 做 到 哪个 层次 


最 近 的 服务 器 负载 均衡 环境 中 有 两 种 不 同 层 次 的 健康 检查 ， 能 够 帮助 我 
们 将 不 同类 别 的 故障 轻松 地 划分 开 。 例如 ，ITTTP 服务 器 的 健康 检查 是 
这 样 的 ， 通 过 L3 检查 来 检查 IP 地 址 是 否 正 常 ， 通 过 L4 检查 或 7 检 
查 来 检查 服务 或 应 用 程序 是 否 正常 。 


ICMP Echo 
Request HTTP/A .1 
200 OK 





. 
从 而 


图 3.3.7 ”执行 两 种 不 同 层次 的 健康 检查 


这 里 需要 注意 的 是 ， 务 必 对 健康 检查 和 服务 器 负 伍 进 行 全 面 、 综 合 的 考 
量 ， 把 握 它 们 之 间 的 平衡 。 下 面 我 们 从 间隔 和 层次 这 两 个 角度 来 具体 看 
一 下 。 


。 健康 检查 的 间隔 
健康 检查 的 间隔 越 短 ， 检 测 出 故障 的 速度 残 越 快 。 但 古 频率 越 高 ， 


服务 如 承载 的 负荷 也 残 越 大 。 我 们 设计 的 时 候 必 须要 考虑 到 这 一 
扩 ， 让 健康 检查 的 间 隐 不 会 影响 到 服务 。 


























图 3.3.8 ”健康 检查 的 间隔 不 能 太 短 
。 健康 检查 的 层次 


L3 检查 只 是 一 种 ICMP 的 交互 ， 我 们 不 必 将 它 视 为 服务 器 的 负 共 
去 考虑 。 问 题 在 于 男 一 个 健康 检查 一 一 L7 检查 。 执 行 L7 检查 能 够 
检测 到 应 用 程序 层面 的 故障 ， 但 古 与 此 同时 ， 该 检查 也 会 增加 服务 
器 的 负荷 。 对 HTTPS 的 健康 检查 就 是 一 个 很 好 的 例子 ，HTTPS 需 
要 不 断 重复 执行 负荷 较 大 的 SSL 握手 处 理 ， 很 容易 成 为 服务 器 的 
一 道 沉 重负 和 荷 ， 如 果 再 加 上 工 7 检查 的 负荷 ， 服 务 器 多 半 会 不 堪 其 
否 。 遇 到 这 种 情况 ， 我 们 可 将 健康 检查 的 层次 降 到 L4， 尽 量 减少 
其 对 服务 的 影响 。 


负载 均衡 器 





















图 3.3.9 ”选择 不 会 给 服务 器 带 来 沉重 负荷 的 健康 检 杜 
由 服务 器 规格 和 通信 类 型 决定 负载 均衡 方式 


负载 均衡 廊 式 也 套 非 向 里 要 内 设计 要 系 之 一 。 人 负载 均 衡 万 式 有 很 多 利 ， 
各 有 各 的 优点 和 缺点， 而 且 到 斥 哪 一 种 最 合适 会 受到 真实 服务 占 坏 境 的 
影响 ， 所 以 我 们 应 在 综 合 考虑 之 后 再 做 选择 。 不 同 设备 E 够 使 用 的 负载 
均衡 方式 也 不 同 ， 比较 常用 的 有 三 种 ， 分 别 是 轮 询 、 加 权 和 比例 以 及 最 
少 连接 数 。 下 表 中 列 出 了 它们 各 自 的 优 缺 点 ， 以 供 各 位 读者 参考 。 


表 3.3.2 ”要 在 理解 各 方式 优 缺 点 的 基础 上 选择 负载 均衡 方式 




















ee 
过程 突 兄 理解。 | 规格 低 的 服务 器 可 能 会 不 堪 重 作 。 因 此 必须 和 权 
号 | 全 共计 和 让 | 重 和 比例 方 式 旧时 使 用 


这 4 答 
挥 巨大 的 作用 。 如 果 每 个 请 求 的 处 理 时 间 参 差 不 齐 ， 就 无 法 均等 
地 分 配 负荷 










































































e 可 根据 负载 均衡 服务 |。 如果 每 个 请 求 的 处 理 时 间 参 差 不 齐 ， 就 无 法 均等 
器 的 规格 进行 分 配 地 分 配 人 负荷 


e 可 根据 负载 均衡 服务 

器 的 规格 进行 分 配 

e 对 于 需要 会 话 保 持 的 

应 用 程序 也 能 均等 地 ”|e 如 果 没 有 完全 理解 应 用 程序 的 运行 过 程 ， 就 很 难 
分 配 负荷 明白 负载 均衡 的 分 配 过 程 
e 即使 每 个 请 求 的 处 理 

时 间 参 差 不 齐 也 能 均 

等 地 分 配 负 和 荷 









































3.3.2.2 ”局 用 哪些 可 选 功能 


负载 均衡 器 还 有 不 少 可 选 功能 ， 包 括 SSL 加 速 功 能 、HTTP 压缩 功能 和 
I 
要 的 选择 。 


准备 证 书 


SSL 加 速 功 能 应 该 是 可 选 功能 中 最 常用 的 一 种 功能 。 启 用 该 功能 时 ， 负 
载 均 衡器 本 号 即 拥有 秘 钥 和 数字 证 书 〈 公 钥 ) 。 


对 于 新 建 的 网 站 ， 我 们 应 通过 负载 均衡 器 生成 CSR， 并 将 其 发 送 给 CA 
机 构 ， 然 后 将 已 被 赋予 数字 签名 的 数字 证 书 安装 到 服务 器 中 去 。 生 成 

CSR 时 要 注意 密 钥 的 长 度 ， 以 往 密 钥 长 度 大 多 为 1024 位 ， 但 出 于 安全 
方面 的 考虑 ， 现 在 正 逐渐 向 2048 位 转变 。 不 同 的 CA 机 构 会 要 求 不 同 

的 密 钥 长 度 ， 所 以 我 们 预先 要 向 CA 机 构 确 认 清 楚 。 此 外 ， 使 用 2048 

位 时 负载 均衡 器 能 够 处 理 的 TPS 每 秒 钟 能 够 处 理 的 SSL 握手 次 数 ) 会 
下 降 到 原来 的 五 分 之 一 左右 ， 因 此 务必 要 确认 好 设备 的 规格 。 


如 果 环 境 中 已 有 SSL 服务 器 存在 ， 那 我 们 就 得 将 安装 到 SSL 服务 器 中 
的 秘 钥 和 证 书 全 部 转移 到 负载 均衡 器 中 去 。 
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东 oo 0anceede 
新 建 网 站 是 田 
负载 均 衔 岩 生 
成 密 乌 对 的 ae 
如 果 将 原本 由 SSL Sa 
的 座 容 进行 SSL 涛 如 处 理 
将 秘 钥 和 公 和 饥 转 移 过 去 


图 3.3.10 ”负载 均衡 器 拥有 和 密 钥 对 
启用 HTTP 压缩 功能 之 前 要 预览 效果 


对 设计 人 员 来 说 ，HTTP 压缩 是 一 项 烦 难 取 售 的 功能 。 因 为 它 能 发 挥 多 
大 的 效用 取决 于 网 站 内 容 ， 而 且 并 不 是 在 所 有 网 站 中 都 能 发 挥 巨 大 作用 


的 ， 所 以 无 法 一 概 而 论 。 最 近 出 现 了 一 种 能 够 确认 压缩 效果 的 网 站 1 
;在 启用 压缩 功能 之 前 最 好 能 先 利用 这 样 的 网 站 杆 儿 一 R， 看 看 效果 如 
可 。 


10 phttp://www.gidnetwork.com/tools/gzip-test.php 
局 用 连接 汇集 功能 之 前 必须 谨慎 测试 


连接 汇集 功能 能 够 大 大 减少 服务 器 的 TCP 处 理 儿 荷 ， 是 一 种 非常 不 错 
的 功能 。 但 是 它 会 执行 一 道 比较 复杂 的 应 用 程序 处 理 ， 即 将 来 自 客户 站 
的 应 用 程序 信息 流量 在 负载 均衡 器 内 展开 还 原 ， 然 后 再 交 给 服务 右 。 因 
此 ， 当 服务 器 几乎 同时 收 到 来 和 目 多 个 用 户 的 应 用 程序 信息 流量 时 ， 可 能 
会 在 应 用 程序 上 做 出 一 些 反 向 的 动作 ， 例 如 删除 报头 、 修 改 IP 地 址 ， 

等 等 。 考 虑 到 这 个 负面 影响 ,我 们 在 局 用 该 功能 之 前 必须 非常 谨慎 地 进 
行 测试 才 行 。 











第 4 章 局 可 用 性 设计 


本 章 将 要 介绍 对 于 提高 服务 器 端 可 用 性 来 说 所 必需 的 元 余 技 术 和 使 
用 该 技术 时 的 设计 要 点 ， 以 及 各 种 结构 类 型 中 的 通信 流 。 


可 用 性 指 的 是 系统 少 出 和 不 出 故障 的 程度 ， 元 余 配 置 指 的 是 为 了 保 
证 高 可 用 性 而 对 系统 进行 多 重 备份 。 目 前 ， 可 以 说 所 有 的 关键 任务 
系统 都 处 于 网 络 之 上 。 在 这 样 的 环境 中 ， 即 使 是 一 分 钟 、 一 秒 钟 的 
系统 宕 机 都 是 足以 致命 的 。 从 无 到 有 地 建立 信任 关系 需要 耗费 大 量 
的 时 间 ， 失 去 它 却 只 要 一 皮 眼 的 工夫 。 所 以 ， 我 们 必须 设计 出 合理 
te 这 样 才 能 避免 失去 客户 的 信 
再 














4.1 元 余 拉 术 


从 物理 层 到 应 用 层 之 中 存在 着 多 种 多 样 的 元 余 技术 。 在 服务 器 系统 中 ， 
所 有 层 的 所 有 关键 设备 都 需要 无 一 遗漏 地 进行 元 余 配 置 ， 本 书 将 从 中 选 
出 与 网 络 相关 的 元 余 技 术 以 及 设计 时 必须 注意 的 事项 ， 逐 一 分 层 解 说 。 


4.1.1 ”物理 层 的 见 余 技术 
物理 层 的 宛 余 技术 是 通过 将 多 个 物理 要 素 集 结 成 一 个 逻辑 要 素 的 形式 来 


实现 的 。 听 起 来 似乎 很 高 深 ， 但 大 家 不 用 想 得 太 复杂 。 这 人 句 话 的 意思 束 
是 ， 不 管 物理 要 素 有 多 少 ， 我 们 只 需 把 它们 当成 一 个 整体 去 看 等 束 好 
Ts 








这 些 要 素 中 ， 本 书 将 着 重 解说 链接 、 设 备 和 网 卡 这 三 种 物理 要 素 ， 中 间 
会 军 插 一 些 其 他 相关 的 内 容 。 


4.1.1.1 将 多 条 物理 链 路 集结 成 一 条 逻辑 链 路 


将 多 条 物理 链 路 集结 成 一 条 逻辑 链 路 ， 这 叫 作 链 路 聚合 。 用 思科 公司 的 
术语 来 说 叫 作 “以 太 通 道 >， 用 惠普 公司 和 F5 Networks 公司 的 术语 来 说 
叫 作 “端口 汇聚 ”(trunk) ， 实 际 上 都 是 同一 个 意思 。 链 路 聚合 是 一 种 让 
链 路 的 带宽 扩展 和 链 路 本 身 的 备份 能 够 同时 实现 的 技术 。 


PILEEEETELLIELELELLELLLELELEEELLLEELLLEELLELELLELELEEEELLEEELLLELLLLLLLLE 
. 


物理 层面 | ， 将 物理 端口 集结 。 ”将 多 条 物理 链 路 集结 到 
到 逻辑 端口 中 去 ”一 条 逮 辑 链 路 中 去 


看 起 来 就 好 像 是 用 一 条 


浸 辑 链 路 





图 4.1.1 将 多 条 物理 链 路 集结 成 一 条 逻辑 链 路 


链 路 聚合 将 交换 机 的 多 个 物理 端口 捆绑 在 一 起 形成 一 个 逻辑 端 口 ， 让 这 
个 端口 和 另 一 台 交 换 机 的 逻辑 端口 连接 ， 以 此 来 生成 逻辑 链 路 。 正 常情 
况 下 ， 有 聚合 起 来 的 多 条 物理 链 路 就 好 像 一 条 链 路 那样 工作 ， 能 够 确保 所 
有 物理 链 路 所 需 的 带宽 。 当 链 路 发 生 故 障 时 ， 故 障 链 路 会 被 断 开 ， 切 换 
成 元 余 应 对 。 因 故障 引起 的 宕 机 时 间 从 ping 的 层面 上 看 只 有 短 短 的 一 
秒 钟 ， 因 此 ， 对 应 用 程序 层面 几乎 是 没有 任何 影 啊 的 。 








能 够 确保 所 有 物理 链 路 所 需 的 带宽 
※ 邑 1Gbit/sx2 的 带宽 
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将 发 生 故 障 的 = 
物理 链 路 断 开 


图 4.1.2 ”通过 链 路 聚合 同时 时 间 珊 宽 扩 展 和 链 路 备份 
模式 大 致 可 分 为 三 种 
链 路 聚合 大 致 可 分 为 三 种 模式 ， 分 别 是 静态 、PAgP (Port Aggregation 
Protocol， 端 口 聚合 协议 ) 和 LACP (Link Aggregation Control 
Protocol， 链 路 聚合 控制 协议 ) 模式 ， 它 们 彼此 之 间 互 不 兼容 ， 设 计时 
我 们 只 能 选择 其 中 一 种 使 用 。 

。 前 态 


静态 是 将 链 路 无 条 件 地 集结 到 链 路 聚合 中 ， 从 而 形成 一 条 逻辑 链 路 
的 模式 。 它 不 需要 用 到 太 多 的 协议 ， 在 三 种 模式 中 是 最 简单 易 懂 








的 。 如 果 选 择 静 态 模式 ， 那 么 两 端的 设备 必须 都 设置 成 静态 模式 才 
行 。 





图 4.1.3 选择 静态 时 必须 将 两 端 设备 都 设置 成 静态 模式 
PAgP 
PAgP 是 一 种 用 来 自动 生成 链 路 聚合 的 协议 。 它 是 思科 公司 专 有 的 





协议 ， 如 果 服 务 器 环境 全 部 采用 思科 公司 的 设备 ， 那 么 最 好 选择 
OD EO A a ee 





PAgP 有 两 种 工作 模式 ， 一 种 是 协商 〈Desirable) 模式 ， 男 一 种 则 
是 自动 (Auto) 模式 。 打 个 形象 的 比方 来 说 ， 协 商 模式 相当 于 肉食 
动物 ， 上 自动 模式 则 相当 于 草食 动物 。 协 丙 模式 主动 问 对 方 发 送 
PAgP 包 ， 积 极地 要 求 建立 逻辑 链 路 ， 目 动 模式 则 是 被 动 地 接收 对 
方 发 来 的 PAgP 包 ， 然 后 才 建 立 逻 辑 链 路 。 

在 进行 普通 的 网 络 设 计时 ， 为 了 统一 设置 ， 人 们 往往 会 将 两 端 设备 
都 设置 成 协商 模式 。 


+ + 
[TEST | 
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es 

















图 4.1.4 选择 PAgP 时 一 般 会 设置 成 协商 模式 


。 LACP 


LACP 也 是 一 种 用 来 自动 生成 链 路 聚合 的 协议 ， 不 过 它 是 基于 
IEEE802.3ad 进行 标准 化 的 ， 能 够 用 在 由 多 家 供应 商 提供 的 不 同 品 
牌 的 设备 组 成 的 网 络 环境 中 。LACP 向 对 方 发 出 征询 的 试探 包 之 
后 ， 逻 辑 链 路 就 会 自动 生成 。 


LACP 有 两 种 工作 模式 ， 一 种 是 主动 (Active) 模式 ， 另 一 种 则 是 
被 动 (Passive) 模式 ， 它 们 分 别 相当 于 PAgP 的 协商 模式 和 目 动 模 
式 。 主 动 模式 主动 向 对 方 发 送 LACP 包 ， 积 极地 要 求 建立 逻辑 链 

0 0 
县 链 路 。 


在 进行 普通 的 网 络 设计 时 ， 为 了 统一 设置 ， 人 们 往往 会 将 两 端 设备 
都 设置 成 主动 模式 。 


+» 
: TT : 和 = 物理 链 路 : TIT 
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图 4.1.5 选择 LACP 时 一 般 会 设置 成 主动 模式 
负载 均衡 方式 非常 重要 


说 到 链 路 聚合 中 的 扩展 带宽 ， 其 原理 不 过 是 将 负荷 分 散 到 各 条 物理 链 路 
中 去 而 已 。 这 样 ， 在 实际 传输 帧 的 时 候 ， 每 一 条 物理 链 路 都 会 承担 一 部 
分 负荷 ， 于 是 从 全 局 来 看 就 实现 了 带宽 扩展 。 这 里 的 关键 在 于 采用 什么 
负载 均衡 方式 ， 如 果 错 误 地 选择 了 不 合适 的 负载 均衡 算法 ， 物 理 链 路 的 
负荷 就 会 有 所 偏重 ， 从 而 达 不 到 均衡 分 配 的 效果 。 

















图 4.1.6 ”通过 负载 均衡 在 全 局 上 实现 带宽 扩展 


我 们 来 看 一 个 具体 的 例子 吧 。 思 科 公 司 的 Catalyst2960/3750 系列 设备 默 
认 的 负载 均衡 方式 是 使 用 源 MAC 地 址 。 如 果 我 们 基于 源 MAC 地 址 去 
分 散 负荷 ， 那 么 来 自 不 同 VLAN 的 通信 就 会 大 量 集中 到 一 条 物理 链 路 
上 。 为 什么 会 这 样 呢 ? 因为 来 自 不 同 VLAN 的 通信 的 源 MAC 地 址 一 定 
人 
:a 


可 能 的 话 ， 最 好 将 负载 均衡 安排 在 传输 层 ( 源 /目的 端口 号 ) 或 者 网 络 
层 ( 源 / 目 的 了 P 地 址 ) ， 这 样 负载 均衡 的 效率 会 比较 高 。 采 用 哪 一 种 负 
ee 
纲 格 。 
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图 4.1.7 基于 源 MAC 地 址 分 散 负 蓓 会 使 通信 有 所 偏重 ， 导 致 负 载 无 
法 均衡 分 配 











图 4.1.8 改变 负载 均衡 方式 以 扩展 带宽 
4.1.1.2 ”将 多 个 物理 网 卡 集结 成 一 个 逻辑 网 卡 


将 多 个 物理 网 卡 集结 成 一 个 逻辑 网 卡 ， 这 叫 作 网 卡 组 合 ， 用 Linux 的 术 
语 来 说 叫 作 网 卡 绑 定 ， 我 们 可 以 认为 二 者 是 同一 个 意思 。 网 卡 组 合 是 一 
种 让 带宽 扩展 和 网 卡 备份 能 够 同时 实现 的 技术 ， 由 于 它 是 对 服务 器 网 卡 
进行 的 设置 ， 乍 一 看 和 网 络 似乎 没有 什么 关系 ， 但 实际 上 它 和 网 络 的 元 
余 设 计 县 上 县 相关 ， 天 当 了 解 一 下 是 有 利 无 或 的 。 本 书 将 按 物 理 环境 和 虚 
拟 环境 分 别 介绍 几 种 比较 常用 的 网 卡 组 合 方式 ，。 





将 物理 网 卡 集结 
a 到 逻辑 网 卡 中 去 


本 , 物理 
:网卡 





看 起 来 就 好 像 只 连接 了 
个 网 卡 





图 4.1.9 将 多 个 物理 网 卡 集结 成 一 个 逻辑 网 卡 
掌握 物理 环境 的 三 种 网 卡 组 合 方式 


物理 环境 中 的 网 卡 组 合 是 通过 软件 设置 出 来 的 。 说 到 比较 知名 的 网 卡 组 
合 软件 ， 那 就 要 数 Intel PROSet 和 BACS/BASP 了 。 网 卡 组 合 设置 好 以 
后 ， 一 个 新 的 逻辑 网 卡 束 建 成 了 ， 我 们 就 可 以 在 这 个 新 的 逻辑 网 卡 上 进 
行 下 一 步 的 动作 。 男 外 ， 组 合 网 卡 的 时 候 我 们 必须 指定 使 用 哪 一 种 组 合 
在 物理 环境 中 可 以 使 用 的 网 卡 组 合 方式 有 很 多 种 ， 其 中 比较 常用 的 有 三 
种 ， 分 别 为 AFT (Adapter Fault Tolerance， 适 配器 容错 ) 、 

ALB (Adapter Load Balancing， 适 配器 负载 均衡 和 链 路 聚合 。 这 里 ， 
我 们 以 通过 Intel PROSet 软件 设置 网 卡 组 合 为 例 来 看 一 下 这 三 种 组 合 方 


。 AFT 


AFT 是 对 物理 网 卡 进行 元 余 配置 的 一 种 模式 。 它 在 服务 器 上 装配 有 
两 个 网 卡 ， 一 个 是 活动 网 卡 ， 另 一 个 则 是 待机 网 卡 。 正 常情 况 下 仅 
使 用 活动 网 卡 ， 当 活动 网 卡 发 生 故 障 时 执行 故障 转移 ， 由 待机 网 卡 
顶 蔡 活 动 网 卡 工作 。 由 于 一 般 情 况 下 AFT 仅 使 用 活动 网 卡 ， 所 以 
两 个 物理 网 卡 的 通信 量 是 完全 分 离开 的 ， 一 旦 活动 网 卡 的 处 理 量 达 
到 最 大 极限 ， 就 无 法 再 接受 更 多 的 通信 。 不 过 AFT 即使 发 生 故 障 
出 容易 排除 ， 加 上 运行 管理 条 便 易 行 ， 因 此 容易 区 得 系统 管理 人 员 
1 青 虚 。 
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待机 网 卡 切 换 成 
活动 网 卡 


图 4.1.10 ”AFT 由 活动 网 卡 和 待机 网 卡 构成 


ALB 


ALB 是 让 物理 网 卡 的 元 余 配置 和 带宽 扩展 同时 实现 的 一 种 模式 。 

它 同 样 是 在 服务 右上 装配 两 个 网 卡 ， 一 个 是 活动 网 卡 ， 男 一 个 是 答 
机 网 卡 ，， 不 过 一 般 情 况 下 两 个 网 卡 都 会 用 到 。 如 果 其 中 一 个 网 卡 
发 生 故 障 ， 束 通过 为 一 个 网 卡 维持 通信 。ALB 在 一 般 情 况 下 就 使 
用 两 个 网 卡 ， 所 以 通信 效率 要 比 AFT 高 。 然 而 它 有 一 个 设计 上 的 
缺点 一 一 由 于 两 个 网 卡 都 必须 连接 到 同一 人 台 交 换 机 上 才 行 ， 所 以 一 
旦 连接 的 那 台 交换 机 发 生 故 障 ， 通 信和 就 会 中 断 “。 





两 个 网 卡 均 处 于 
活动 状态 


前 提 条 件 是 两 个 网 卡 都 和 
同一 台 交 换 机 相连 





图 4.1.11 ALB 也 由 活动 网 卡 和 待机 网 卡 构成 
链 路 聚合 


前 面 我 们 介绍 过 物理 链 路 的 链 路 聚合 ， 这 里 的 链 路 肾 合 可 以 理解 为 
是 网 卡 版 本 的 链 路 聚合 ， 它 能 让 带宽 扩展 和 物理 网 卡 备份 同时 实 

现 。 一 般 情 况 下 ， 该 模式 会 根据 一 定 的 方式 去 选择 通信 的 物理 网 卡 
并 扩展 带宽 。 如 果 同 组 中 的 茶 个 网 卡 发 生 故 障 ， 就 会 立刻 切换 成 刀 
一 个 网 卡 ， 确 保 通 信 正 常 进行 。 链 路 聚合 在 一 般 情 况 下 就 使 用 所 有 
物理 网 卡 ， 因 此 通信 效率 较 高 。 然 而 它 有 一 个 缺点 ， 那 就 是 连接 的 
交换 机 一 旦 发 生 故 障 就 无 法 通信 了 。 另 外 ， 由 于 交换 机 也 需要 设 
置 链 路 聚合 ， 所 以 服务 器 负 贡 人 员 和 网 络 负 责 人 员 应 束 采 用 哪 种 协 
议和 负载 均衡 方式 进行 充分 的 讨论 和 商议 。 








两 个 网 卡 均 处 于 
活动 状态 


对 交换 机 也 要 设置 
链 路 聚合 





图 4.1.12 交换 机 也 需要 设置 链 路 聚合 


1 实际 上 并 非 所 有 通信 都 会 交 给 活动 / 待机 网 卡 去 处 理 。 只 有 发 往 不 同 VLAN 的 数据 包 才 会 被 
分 配给 双 网 卡 《〈 基 于 目的 卫 地 址 分 配 ) ， 其 他 数据 包 (广播 数据 包 、 多 播 数据 包 以 及 发 往 同 
一 VLAN 或 是 同一 VLAN 收 到 的 数据 包 ) 则 是 由 早已 定义 好 的 主 网 卡 去 处 理 的 。 







































































2 对 于 这 种 情况 ， 我 们 需要 利用 StackWise 技术 或 VSS 架构 出 一 台 逻 辑 交 换 机 ， 并 将 连接 的 物 
理 交 换 机 分 开 。 关 于 StackWise 技术 和 VSS 将 4.1.1.3 节 中 详细 说 明 。 




















3 对 于 这 种 情况 ， StackWise 技术 或 VSS 将 几 台 交换 机 集结 成 一 台 逻 辑 交 换 机 ， 
并 将 连接 的 物理 换 机 分 开 








在 虚拟 交换 机 中 设置 虚拟 环境 的 网 卡 组 合 


虚拟 环境 中 的 网 卡 组 合 是 在 虚拟 软件 超级 管理 程序 上 的 虚拟 交换 机 中 设 
置 的 。 虚 拟 机 通过 虚拟 交换 机 和 物理 环境 连接 ， 将 物理 网 卡 关 联 到 虚拟 
人 。 虚 拟 环境 的 网 卡 组 合 有 
两 个 要 点 ， 分 别 是 故障 检测 和 负载 均衡 方式 。 


。 故障 检测 
故障 检测 指 的 是 根据 什么 信息 来 检测 故障 。 例 如 ，VMware 中 有 两 


种 故障 检测 机 制 ， 一 种 叫 作 链 路 状态 检测 ， 夯 一 种 叫 作 信和 标 检测 ， 
二 者 之 间 的 差异 在 于 它们 作用 的 层 不 同 。 












根据 链 路 状态 检测 
是 否 发 生 故 障 
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EE VSLeh 虚拟 机 通过 虚拟 
人 (上 的 交换 机 ) 交换 机 进入 真实 
网 卡 进行 组 合 二 

和 应 所 

网 卡 
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图 4.1.13 ”根据 链 路 状态 检测 是 否 发 生 故 障 


链 路 状态 检测 是 在 物理 层 对 链 路 状态 〈 连 接 还 是 断 开 ) 进行 检测 ， 
信 标 检测 则 是 在 数据 链 路 层 周 期 性 地 发 送 特殊 的 帧 “并 确认 其 丢失 
情况 ， 以 此 来 进行 检测 。 二 者 之 间 ， 笔 者 推荐 采用 前 者 。 这 是 因为 
采用 信 标 检测 时 ， 信 标 帧 可 能 会 被 其 他 设备 误 判 为 非法 帧 ， 而 且 有 
时 该 机 制 检测 不 出 正在 发 生 的 故障 ， 这 点 需要 多 加 注意 。 


负载 均衡 方式 


虚拟 环境 中 的 网 卡 组 合同 样 是 一 种 通过 将 通信 分 散 到 各 个 物理 网 卡 
上 ， 使 带宽 扩展 和 网 卡 备份 能 够 同时 实现 的 技术 。 负 载 均 衡 方式 指 
的 是 采用 哪些 物理 网 卡 。VMware 中 有 四 种 负载 均衡 方式 ， 分 别 为 
明确 的 故障 转移 、 基 于 端口 ID 的 负载 均衡 、 基 于 源 MAC 哈 硕 的 
负载 均衡 和 基于 IP 哈 希 的 负载 均衡 。 其 中 最 为 第 用 的 是 明确 的 故 
障 转移 和 基于 端口 ID 的 负载 均衡 方式 。 









基于 虚拟 端 日 
选择 使 用 哪 一 
个 物理 网 卡 


eter rer). 


VSWiteh 虚拟 机 和 虚拟 端口 
( 庶 拟 变换 机 ) 之 间 是 虚拟 连接 的 


sal 
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图 4.1.14 基于 虚拟 端口 的 端口 ID 选择 使 用 的 物理 网 卡 


明确 的 故障 转移 是 指 在 服务 器 上 装配 两 个 网 卡 ， 一 个 是 活动 网 卡 ， 
为 一 个 则 是 每 机 网 卡 。 正 常情 况 下 仅 使 用 活动 网 卡 ， 妆 活动 网 卡 友 
生 故 障 时 执行 故障 转移 ， 由 符 机 网 卡 顶 丛 活 动 网 卡 工作 。 


基于 端口 ID 的 负载 均衡 则 是 一 种 以 端口 为 单位 切换 使 用 网 卡 的 负 
载 均衡 方式 。 这 里 所 说 的 端口 不 是 TCP 或 UDP 的 端口 号 ， 而 是 虚 
拟 机 所 连接 的 虚拟 交换 机 的 虚拟 端口 。 为 每 个 虚拟 端口 号 〈 端 口 
人 
衡 。 
4 该 帧 的 源 MAC 地 址 为 物理 网 卡 的 MAC 地 址 ， 目 的 MAC 地 址 为 广播 MAC 地址， 以太 网 类 
型 为 0x05ff。 





将 不 同 种 类 的 物理 网 卡 组 合 使 用 


我 们 在 组 合 网 卡 时 还 需要 充分 考虑 物理 网 卡 的 配置 问题 。 用 于 服务 器 的 
物理 网 卡 大 致 可 分 为 两 类 ， 一 类 是 安装 在 主板 上 的 板 载 网 卡 ， 另 一 关 则 
是 添加 在 扩展 插 槽 中 的 扩展 网 卡 。 我 们 应 尽量 将 这 两 类 网 卡 组 合 使 用 以 
提高 元 余 效果 。 假 如 我 们 只 选择 四 器 口 的 扩展 网 卡 绑 定 成 组 ， 那 么 扩展 
插 模 一旦 坏 择 ， 通 信和 就 会 中 断 。 所 以 ， 为 了 尽量 减少 因 物 理 构成 要 么 发 
生 故 障 而 造成 的 影响 ， 我 们 应 将 扩展 网 卡 和 板 载 网 卡 组 合 使 用 。 
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图 4.1.15 将 不 同 种 类 的 网 卡 组 合 使 用 
务必 将 连接 的 对 象 分 开 


我 们 在 组 合 网 卡 时 还 需要 考虑 物理 网 卡 的 连接 对 象 。 如 果 将 物理 网 卡 都 
连接 到 同一 台 物 理 交 换 机 上 ， 那 么 该 交换 机 一 旦 损坏 我 们 就 无 力 回 天 
了 。 所 以 ， 应 将 两 个 物理 网 卡 分 别 连接 到 两 台 不 同 的 物理 交换 机 上 ， 这 
样 才 能 够 保证 其 中 一 台 物 理 交 换 机 发 生 故 障 时 ， 丸 一 台 仍 然 可 用 。 
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图 4.1.16 分别 连接 不 同 的 物理 交换 机 
刀片 服务 器 让 物理 结构 得 以 简化 


刀片 服务 咒 是 将 名 为 “刀片 ”的 薄型 服务 器 插入 名 为 “刀片 机 箱 ” 的 外 壳 中 
使 用 的 一 种 服务 器 ”。 一 般 来 说 ， 服 务 器 数量 较 多 时 布线 作业 就 会 非常 
拱 烦 ， 刀 厂 服 务 器 则 能 够 大 大 地 简化 布线 作业 并 提高 机 架 集 中 紊 ， 从 而 
使 设备 物理 层面 的 运行 管理 工作 变 得 轻松 。 如 今 ， 刀 片 服务 器 正在 逐渐 
成 为 系统 染 构 的 必 备 要 系 之 一 。 


| 3 有 些 生产 商 可 能 会 使 用 不 同 的 称呼 ， 本 书 选择 使 用 比较 常用 的 称呼 来 进行 讲解 。 


当 我 们 将 刀片 从 刀 厂 机 箱 的 正面 插入 时 ， 效 在 刀片 机 箱 背 面 的 扩展 模块 
就 会 自动 完 成 内 部 的 连接 布线 。 那 些 连接 结构 我 们 是 看 不 到 的 ， 因 此 ， 
刀片 服务 器 刚刚 问世 时 人 人 们 常 弟 半信半疑 ， 担 心 它 是 否 真 的 完成 了 连接 
布线 ， 不 过 事实 证 明 那 些 担心 都 是 多 余 的 。 




















图 4.1.17 刀片 服务 器 内 部 会 目 动 连接 布线 





扩展 模块 有 很 多 种 类 。 种 类 不 同 ， 网 络 结构 就 不 同 ， 负 责 维护 的 工程 师 
也 就 不 同 。 下 面 ， 本 书 将 选择 网 络 工程 师 负 责 范围 内 的 、 比 较 常 用 的 交 
换 机 模块 来 进行 介绍 。 


交换 机 模块 


交换机 模块 是 怎么 一 回 事 呢 ? 想 象 一 下 刀片 机 箱 中 藏 厦 一 台 交 换 

机 ， 你 就 能 心领神会 了 。 前 面 已 经 讲 过 ， 我 们 将 刀片 插入 刀片 机 箱 
后 ， 机 箱 内 部 会 目 动 完成 连接 布线 的 工作 。 刀 厂 的 插入 位 置 ( 插 

槽 ) 和 安装 在 刀片 中 的 夹层 卡 《 决 定 了 接线 的 位 置 。 举 例 来 说 ， 如 
条 将 刀片 插入 插 槽 1， 它 束 会 连接 到 各 个 交换 机 模块 的 1 写 站 口 ; 

将 刀片 插入 插 权 2， 它 束 会 连接 到 各 个 交换 机 模块 的 2 号 端口 。 原 
本 露 在 外 面 的 线 绕 全 部 在 机 箱 内 部 彼此 相 接 ， 因 此 也 不 再 需要 进行 
与 服务 器 之 间 的 布线 工作 。 需 要 布线 的 地 方 仅 剩 一 处 ， 那 残 是 通过 
外 部 闯 口 与 外 部 交换 机 连接 的 那个 部 分 。 





: | 交换 机 模块 自动 完成 内 部 的 连 
;< 接 布 线 ， 从 外 面 是 看 不 见 的 


:| ss 
| 本 昌 殉 





用 外 部 庙 吕 与 外 部 
交换 机 连接 | 


图 4.1.18 ”连接 端口 取决 于 刀片 插入 的 插 横 


我 们 在 使 用 交换 机 模块 的 时 候 ， 必 须 注 意 它 和 管理 模块 之 间 的 关 
系 。 刀 片 服 务 器 的 整体 管理 是 通过 一 个 叫 作 管 理 模块 的 模块 实现 
的 ， 它 在 IBM 刀片 服务 器 中 心 被 称 为 AMM (Advanced 
Management Module， 高 级 管理 模块 ) ， 在 惠普 刀片 服务 器 系统 中 
则 被 称 为 OA (COnboard Administrator， 板 载 管理 器 ) 。 交 换 机 本 和 号 
也 受 管理 模块 的 管理 ， 在 默认 状态 下 其 IP 地 址 和 主机 名 都 是 由 管 
理 模 块 设置 的 。 此 外 ， 对 交换 机 的 管理 访问 也 必须 经 过 管理 模块 才 
行 ， 有 些 设 计 还 规定 了 它 必须 使 用 不 同 于 服务 器 的 VLAN。 这 些 规 
格 上 的 细节 我 们 都 必须 仔细 确认 。 当 然 ， 我 们 也 可 以 将 交换 机 模块 
设置 成 不 受 管理 模块 管理 的 形式 ， 如 果 架 构 工 作 全 部 由 网 络 工程 师 
来 完成 ， 那 么 我 们 应 将 它 排除 到 管理 模块 的 管理 范围 之 外 。 

















| * 指 插入 刀片 的 主板 来 使 用 的 扩展 卡 。 


4.1.1.3 将 多 人 台 物 理 设备 集结 成 一 合 多 辑 设 备 


最 近 ， 将 多 台 物 理 设备 集结 成 一 台 逻 辑 设 备 的 技术 获得 了 和 急速 的 普及 。 
这 项 技术 能 够 一 举 解决 网 络 中 存在 的 多 个 问题 ， 包 括 元 余 配置 、 增 强 传 
和 输 能 力 、 无 环 回 、 简 化 结构 ， 等 等 。 目 前 ， 它 已 在 高 可 用 设计 中 占据 了 
无 可 答 代 的 一 席 之 地 。 


这 种 类 型 的 元 余 技 术 分 为 好 几 种 ， 针 对 不 同 的 设备 应 采用 不 同 的 技术 。 
下 面 ， 本 书 将 要 介绍 可 以 用 于 思科 公司 Catalyst3750 系列 的 StackWise 
技术 和 可 以 用 于 Catalyst6500/6800 系列 的 VSS (Virtual Switching 
System， 虚 拟 交 换 系 统 ) 的 设计 要 点 。 


StackWise 技术 


StackWise 技术 是 一 项 可 以 用 于 Catalyst3750 系列 和 刀片 交换 机 的 元 余 
技术 。 它 使 用 特殊 的 堆 暑 线 ， 能 够 连接 的 交换 机 多 达 九 台 ， 进 而 将 这 些 
交换 机 集结 成 一 台 巨 大 的 逻辑 交换 机 。 从 物理 层面 来 看 存在 痢 多 人 台 交 换 
机 ， 然 而 从 逻辑 层面 来 看 就 像 只 有 一 台 交 换 机 在 工作 。 因 此 ， 系 统管 理 
人 员 需 要 管理 的 卫 地 址 和 各 种 设置 信息 等 设计 要 点 也 都 只 有 一 个 。 
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逻辑 层面 看 起 来 就 像 只 有 一 台 
交换 机 在 王 作 


Catalyst 3750 | 


图 4.1.19 将 多 台 物 理 交 换 机 集结 成 一 台 逻 辑 交 换 机 


。 选 出 主 交 换 机 


形成 堆 夺 的 交换 机 由 一 台 负 责 全 局 管控 的 主 交 换 机 和 几 台 分 交换 机 
构成 。 主 交换 机 负责 处 理 单 播 和 多 播 的 路 由 选择 ， 以 及 复制 各 分 交 
换 机 的 设置 信息 和 传输 信息 (FIB 表 ”) 等 工作 ， 在 堆 县 中 扮演 着 
最 重要 的 角色 。StackWise 技术 让 主 交 换 机 集中 执行 一 些 复杂 的 处 
理 〈 路 由 选择 协议 处 理 等 ) ， 让 分 交换 机 分 头 执行 一 些 简 单 的 处 理 
(传输 处 理 等 ; ， 进 而 使 所 有 的 交换 机 各 司 其 职 、 各 施 其 长 。 


主 交 换 机 可 以 根据 几 个 条 件 季 选 出 来 。 不 过 ， 我 们 一 般 需 要 预先 设 
置 好 优先 值 ， 以 保证 能 够 筛选 出 特定 的 交换 机 。 优 先 值 默认 为 1， 
最 大 为 15， 拥 有 最 高 优先 值 的 交换 机 将 当选 为 主 交换 机 。 在 设置 
好 主 交 换 机 的 优先 值 之 后 ， 我 们 不 妨 进一步 设置 好 下 一 讲 将 要 成 为 
0 
忙 脚 乱 了 。 














贞 主 交换 机 执行 栈 笛 
证 拉 的 进 各 





Oatalyst 3750 
宙 
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( 分 交换 机 】 


Catalyst 3750 
{ 分 交换 机 


图 4.1.20” 主 交换 机 负责 全 局 管控 


关于 主 交换 机 我 们 还 必须 了 解 一 点 一 一 原本 拥有 最 高 优先 值 的 主 区 
换 机 发 生 故 障 又 恢复 正 冲 之 后 ， 并 不 会 目 动 升 级 为 主 交换 机 。 如 宋 
需要 将 其 恢复 为 主 交换 机 ， 我 们 必须 通过 重启 当前 的 主 交 换 机 等 操 











作 以 再 次 执行 科 选 进程 。 
e。 MAC 地 址 


我 们 在 使 用 StackWise 技术 的 时 候 还 需要 注意 MAC 地 址 。 形 成 堆 
县 结 构 时 ， 堆 县 的 MAC 地 址 〈 扒 倒 MAC 地 址 ) 默认 为 主 交 换 机 
的 MAC 地 址 ， 这 在 正常 情况 下 是 没有 问题 。 然 而 主 交 换 机 一 旦 宕 
机 ， 问 题 就 随 之 出 现 了 在 特定 的 环境 (LACP 和 STP 并 用 的 环 
境 ) 下 ， 为 了 应 对 宕 机 现象 而 进行 的 MAC 地 址 切换 处 理会 导致 通 
信 中 断 。 考 虑 到 这 种 情况 ， 无 论 是 在 怎样 的 环境 下 ， 我 们 都 应 提前 
输入 命令 stack-mac persist timer 0。 这 样 ， 即 使 主 交 换 机 宕 机 ， 它 
的 MAC 地址 也 能 够 在 新 的 主 交换 机 中 继续 使 用 ， 就 不 会 发 生 不 必 
要 的 通信 中 断 了 。 








使 用 主 资 找 机 的 这 个 设置 让 主 交换 欣 前 给 六 命令 

MAG 地 址 机 的 MAC 在 主 交 Kacienia if 
换 煌 宕 机 后 当做 表 A 
竞 淮 馈 使 用 
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。 堆 有 登 线 的 连接 


StackWise 技术 采用 特殊 的 堆 丢 线 连 接 位 于 各 交换 机 背面 的 堆 熏 站 
口 ， 以 此 来 实现 智能 堆 登 功能 。 这 里 最 关键 的 地 方 在 于 连接 结构 ， 
堆 又 线 必须 设计 为 环 状 结构 才 行 。 假 设 我 们 要 构成 三 台 交 换 机 的 堆 
合 ， 那 么 就 应 该 设计 成 如 下 图 所 示 的 环 状 结构 。 


堆 又 线 应 连接 
成 环 状 
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Catalyst 3750 


{ 分 交换 机 ) 
交换 机 的 数 最 
营 线 的 长 度 就 Catalyst 3750 
越 不 够 用 { 分 交换 机 ) 





图 4.1.22 堆 释 线 应 连接 成 环 状 


我 们 还 需要 在 物理 层面 管理 好 堆 合 线 。 交 换 机 的 数量 一 多 ， 附 属 堆 
登 线 的 长 度 就 会 不 够 用 。 所 以 ， 如 果 交 换 机 超过 三 台 ， 最 好 事先 就 
0 另外 ， 还 得 注意 跨 机 架 布线 的 情况 ， 

登 线 因 其 自身 的 特性 ， 并 不 适合 跨 机 染 布线 ， 建 议 上 尽量 在 同一 机 
架 中 完成 有 线 作 业 ， 


|7 rm (Forwarding Information Base， 转 发 信息 库 ) 表 是 从 路 由 表 中 提取 出 的 表 ， 其 中 仅 包 含 
| 了 传输 数据 包 所 需 的 信息 




















VSS 


VSS 是 一 项 可 以 用 于 Catalyst6500 系列 和 Catalyst4500-X 系列 的 元 余 技 
术 。 它 用 多 条 10G 链 路 连接 两 台 Catalyst6500， 将 它们 集结 成 一 台 逻 辑 
交换 机 。 从 物理 层面 来 看 有 两 台 交 换 机 存在 ， 但 是 从 网 络 的 角度 来 看 就 
像 只 有 一 台 交 换 机 在 工作 ， 只 需 进行 一 种 设置 ， 管 理 对 象 也 只 有 一 个 。 





物理 层面 将 多 台 物 理 交换 机 集结 
以 10Gbitls 的 速度 连接 成“ 台 逮 辑 交换 机 


; Catalyst 





看 起 来 就 像 一 台 
交换 机 在 工作 





人 


图 4.1.23 ”将 两 台 物 理 交 换 机 集结 成 一 台 逻 辑 交 换 机 
。 虚拟 域 ID 


虚拟 域 ID 是 一 个 在 逻辑 层面 上 管理 VSS 对 的 ID。 在 构建 VSS 的 

物理 交换 机 之 间 设 置 相同 的 域 DD， 就 会 生成 VSS 域 。 虚 拟 域 ID 用 
于 PAgP 或 LACP 的 控制 比特 流 ， 在 网 络 内 部 必须 设计 成 独一无二 
因此 ， 连 接 不 同 VSS 对 的 时 候 要 多 加 注意 ， 斩 使 域 ID 发 


人 


域 ID:， 100 


Catalyst Catalyst 
6500 6500 


连接 不 同 VSS 对 的 
时 候 应 改换 域 |D， 
避免 冲突 





图 4.1.24 域 D 在 网 络 内 部 必须 是 独一无二 的 
VSL 


VSS 见 余 搁 术 的 关键 所 在 ， 就 是 连接 两 台 交 换 机 的 VSL (Virtual 

Switch Link， 虚 拟 交 换 链 路 ) 。 这 个 连接 一 般 通 过 链 路 聚合 将 10G 
链 路 集结 起 来 完成 的 。 构 建 VSS 需要 交换 特定 的 控制 信息 和 同步 

信息 ，VSL 不 仅 肩 负 着 交换 这 些 信息 的 重任 ， 在 发 生 故 障 时 ， 它 还 
会 成 为 数据 的 传输 路 径 ， 其 重要 性 不 言 而 喻 。 


这 部 分 的 要 点 在 于 如 何 配置 构成 链 路 聚合 的 物理 链 路 。 我 们 应 将 一 
条 链 路 用 在 管理 引擎 上 ， 男 一 条 链 路 用 在 其 他 线 卡 上 ， 以 此 来 应 对 
线 卡 发 生 故 障 的 情况 。 








Catalyst 6500 


各 自 使 用 下 同 的 模块 
生成 适 路 张 全 





图 4.1.25 ”注意 物理 链 路 的 配置 
传输 处 理由 活动 交换 机 和 备用 交换 机 共同 完成 


VSS 映 兼 双 职 ， 根 据 不 同 的 处 理 转换 角色 ， 既 能 实现 风 余 备份 ， 又 
能 增强 传输 能 力 。 


路 由 协议 控制 和 管理 控制 等 由 软件 完成 的 、 比 较 复 杂 的 处 理 是 由 活 
动 交 换 机 和 备用 交换 机 共同 完成 的 。 一 般 情况 下 由 活动 交换 机 执行 
处 理 并 将 数据 同步 到 备用 交换 机 中 去 。 活 动 交 换 机 一 旦 发 生 故 障 ， 
人 


而 像 传输 比特 流 等 在 硬件 上 进行 的 简单 处 理 则 是 由 两 台 活 动 交 换 机 
完成 的 。 两 台 物 理 交 换 机 共同 分 担 处 理 任务 ， 以 此 来 保证 最 大 的 传 
和 输 能 力 。 当 其 中 一 人 台 物 理 交 换 机 宕 机 时 ， 夯 一 台 物 理 交 换 机 就 会 立 
刻 接手 继续 处 理 任务 。 


Catalyst 6500 ( 活动 状态 】 Catalyst 6500 { 热 备 状态 ) 


软件 处 理 的 内 容 册 活动 
| 交 终 负 和 备用 交换 机 闪 


比特 流传 给 比特 流传 输 | pe 





图 4.1.26 确保 见 余 备份 和 传输 扩展 
MAC 地 址 


对 任何 见 余 结构 ， 我 们 都 需要 考虑 到 MAC 地 址 这 个 细节 。VSS 默 
认 使 用 各 台 物 理 交 换 机 自身 的 MAC 地址 ， 因 此 ， 假 如 我 们 重启 两 
台 物 理 交 换 机 使 活动 交换 机 发 生 了 切换 和 交接 等 状态 的 改变 ， 那 
么 ， 只 要 相 邻 设备 的 ARP 切换 尚未 结束 ， 通 信和 就 会 一 直 处 于 中 断 
状态 ， 这 可 是 足以 致命 的 大 问题 。 为 了 避免 出 现 这 样 的 局 面 ， 我 们 


在 构建 VSS 的 时 候 ， 应 将 默认 设置 改 为 使 用 虚拟 MAC 地 址 。 这 
样 ，VSS 的 IP 地址 和 MAC 地 址 就 能 保持 不 变 ， 就 不 会 受到 来 自 
人 


注意 链 路 聚合 的 配置 


将 多 台 物 理 设 备 集结 成 一 台 人 逻辑 设备 这 种 类 型 的 见 余 技术 大 多 是 和 链 路 
聚合 一 起 设计 的 。 这 时 候 有 一 点 我 们 必须 注意 ， 那 融 是 构成 链 路 聚合 的 
物理 链 路 的 配置 问题 。 一 定 要 从 不 同 的 物理 交换 机 获取 链 路 才 行 。 以 
VSS 结构 为 例 ， 在 同一 台 物 理 交 换 机 上 获取 所 有 物理 链 路 是 至 无 意义 
的 ， 因 为 一 旦 该 物理 交换 机 宕 机 ， 通 信和 就 会 断 掉 。 因 此 ， 务 必要 从 不 同 
的 物理 交换 机 获取 链 路 ， 以 应 对 物理 交换 机 发 生 故 障 的 情况 。 


对 于 类 似 Catalyst6500 系列 的 机 箱 陈 交换 机 ， 我 们 还 必须 注意 同一 合 物 
理 交 换 机 内 的 物理 链 路 配置 问题 。 如 宁 同 一 个 线 卡 占用 了 所 有 的 物理 链 
路 ， 那 么 一 旦 该 线路 卡 出 问题 通信 整 会 断 挥 。 因 此 ， 我 们 务必 让 每 一 个 
线路 卡 各 目 取 用 一 条 物理 链 路 ， 以 备 线路 卡 发 生 故 障 的 不 时 之 需 。 


亲本 


: | 务必 分 别 使 用 不 同 的 
| 樟 扇 建立 链 路 聚合 







务必 分 别 使 用 不同 的 物理 
: CE <xTITETITEIIIETEEI EE 交 柳 机 建立 秆 路 聚合 
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图 4.1.27 注意 物理 链 路 的 配置 问题 


StackWise 技术 和 VSS 的 优点 


StackWise 技术 和 VSS 之 所 以 会 成 为 高 可 用 性 设计 的 主角 ， 是 因为 它们 
除了 元 余 备 份 之 外 还 具有 别 的 优点 。 以 往 高 可 用 性 设计 的 主角 是 

STP (Spanning-Tree Protocol， 生 成 树 协议 ) 8 ， 然 而 STP 在 实现 元 余 备 
份 的 同时 还 不 得 不 面临 一 些 进退 两 难 的 窒 境 ， 因 此 长 期 以 来 一 直 令 工程 
师 们 难于 取舍 。StackWise 技术 和 VSS 则 能 够 一 举 解 决 这 些 进退 两 难 的 
问题 ， 如 今 ， 它 们 早已 成 为 了 网 络 技术 中 不 可 或 缺 的 存在 。 


3 关于 STP 的 内 容 将 在 4.1.2 节 中 详细 讲解 。 














本 书 将 会 介绍 它们 所 具有 的 “增强 传输 能 力 *“ 简 化 结构 "和 “便于 运行 管 
ee 
目 了 然 。 


。 增强 传输 能 力 


STP 是 一 种 协议 ， 它 阻塞 形成 环 回 拓扑 的 某 处 端口 ， 并 按照 逻辑 树 
状 结构 去 构造 网 络 拓扑 。 由 于 它 会 阻塞 某 处 端口 导致 数据 无 法 传 
输 ， 因 而 不 能 百分之百 地 发 挥 交 换 机 原本 具备 的 传输 能 力 。 与 此 相 
对 ， 采 用 StackWise 技术 或 VSS 的 网 络 结构 中 根本 就 没有 阻塞 端口 
存在 ， 所 有 端口 都 能 用 到 。 
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驻 灾 鞭 中 一 条 物理 链 族 ， 
不 使 开 这 链 芒 


2960 
进 再 扩 霸 狼 灾 


EE 


图 4.1.28 ”物理 链 路 全 部 都 能 用 上 
。 简化 结构 


他 用 商 条 物 漳 读 路 。 : 


STP 对 交换 机 的 连接 是 呈 环 状 的 ， 随 着 网 络 规模 的 扩大 ， 结 构 会 变 
得 越 来 越 复 杂 。 而 且 我 们 还 得 注意 阻塞 端口 位 于 何 处 ， 这 越发 使 得 
结构 难于 理 清 。 与 此 相对 ， 采 用 StackWise 技术 或 VSS 时 ， 由 于 多 
台 物 理 交 换 机 集结 成 一 台 逻 辑 交 换 机 ， 从 逻辑 上 来 说 我 们 只 需 连 接 
一 台 交 换 机 即 可 ， 这 能 够 大 大 地 简化 结构 。 


CETTEETIETTETETEIITETE ET 
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:从 惠 轩 上 看 , 药 机 ; 
;| 前 音 明 池 当中 有 了 验 吉 加 吕 
存在 ， 车 构 修 冰 
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图 4.1.29 结构 简单 明了 
便于 运行 管理 


对 网 络 管理 人 员 来 说 ， 管 理 对 象 的 增加 仅仅 意味 着 更 加 索 重 的 工作 
负荷。 如 果 我 们 采用 STP， 那 么 各 台 交 换 机 都 是 独立 工作 的 ， 有 多 
少 台 交换 机 就 会 有 多 少 个 管理 对 象 。 例 如 ， 新 增 四 台 物 理 交 换 机 束 
等 于 新 增 了 四 个 管理 对 象 。 与 此 相对 ， 采 用 StackWise 技术 或 VSS 
时 ， 我 们 只 有 堆 合 组 或 VSS 域 这 一 个 管理 对 象 。 即 使 新 增 四 台 物 
理 交 换 机 并 将 它们 堆 合 起来， 从 逻辑 上 说 仍然 只有 一 台 交 换 机 ， 所 
以 只 是 新 增 一 个 管理 对 象 而 已 。 和 采用 STP 的 情况 相 比 ， 运 行 管 
理 要 轻松 很 多 。 








于 


委 各 交 斤 机 都 录 独 立 的 ， 
视 有 每 埋 的 化 地 坦 
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图 4.1.30 ”管理 对 象 少 


4.1.1.4 ” 当 上 行 链 路 中 断 时 ， 让 下 行 链 路 也 随 之 中 断 


下 面 介 绍 一 项 性 质 比 较 特 殊 的 物理 层 见 余 技术 ， 它 叫 作 链 路 聚合 故障 转 
移 ， 有 些 生产 商 称 之 为 链 路 状态 追踪 或 者 UFD (Uplink Failure 
Detection， 上 行 链 路 故障 检测 ) ， 实 际 上 都 是 同一 个 意思 。 链 路 聚合 
障 转 移 是 指 当 上 行 链 路 〈 针 对 上 层 交 换 机 的 链 路 ) 中 断 时 ， 让 下 行 链 路 
(针对 服务 器 的 链 路 ) 也 随 之 中 断 。 


网 卡 组 合并 不 是 万 能 的 


正 征 因为 大 量 的 设备 彼此 融合 、 共 同人 存在， 网 络 的 世界 才 得 以 成 立 。 因 
此 ， 我 们 设计 时 应 始终 参考 相 邻 设备 之 间 的 连接 结构 。 在 仪 靠 网 卡 组 合 
无 法 排除 故障 的 特定 环境 中 ， 链 路 聚合 故障 转移 能 够 发 挥 巨大 的 作用 。 


我 们 来 考虑 一 下 图 4.1.31 所 示 的 情况 。 这 应 该 是 一 种 非常 第 见 的 结构 。 
在 这 种 结构 中 ， 当 交换 机 的 上 行 链 路 中 断 时 ， 通 往 上 层 的 路 径 消失 ， 导 
臻 通信 无 法 进行 。 这 里 的 网 卡 虽 然 绑 定 成 了 网 卡 组 合 的 形式 ， 但 由 于 上 
行 链 路 的 中 断 和 服务 器 并 没有 直接 的 关系 ， 因 而 无 法 进行 故障 转移 ， 服 
务 需 仍然 会 试图 通过 同一 个 物理 网 卡 发 送信 息 。 
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图 4.1.31 网 卡 组 合 无 法 检测 到 故障 已 发 生 
利用 链 路 聚合 的 故障 转移 激 太 网 卡 组 合 的 故障 转移 


想 解决 上 述 问 题 ， 就 要 利用 链 路 聚合 故障 转移 技术 。 链 路 聚合 故障 转移 
能 够 监控 上 行 链 路 的 物理 链 路 状态 并 根据 该 状态 控制 下 行 链 路 。 它 的 工 
es 那 就 是 一 旦 友 现 上 行 链 路 中 断 ， 就 让 下 行 链 路 也 随 之 


那么 ， 我 们 束 来 看 看 将 链 路 聚合 故障 转移 用 在 前 面 提 到 过 的 结构 中 会 
么 样 。 上 行 链 路 一 中 断 ， 链 路 聚合 故障 转移 功能 就 会 局 动 ， 强 制 性 全 类 
闭 下 行 链 路 。 于 是 整 条 链 路 中 断 ， 网 卡 组 合 局 动 故障 转移 机 制 ， 最 终 确 
保 了 通 往 上 层 的 路 径 。 
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图 4.1.32 利用 链 路 聚合 故障 转移 强行 确保 通 往 上 层 的 路 径 


4.1.2 ”数据 链 路 层 的 见 余 技术 


关于 数据 链 路 层 的 元 余 技 术 ， 我 们 只 需 掌 握 STP (Spanning-Tree 
Protocol， 生 成 树 协 议 ) 了 驶 足够 。 事 实 上 ， 作 为 一 项 元 余 技 术 ，STP 
早已 是 明日 黄花 、 江 河 日 下 ， 个 过 已 第 疯 在 过 去 的 很 长 一 段 时 期 内 都 是 
网 络 高 可 用 性 的 技术 后 盾 ， 今 后 很 可 能 还 会 继续 存在 下 去 ， 我 们 了 解 一 
下 总 归 是 有 利 无 整 的 。 


4.1.2.1 STP 的 关键 在 于 根 网 桥 和 阻塞 端口 


STP 是 一 种 协议 ， 它 阻 罕 形成 环 回 拓扑 的 某 处 端口 ， 并 按照 风 辑 树 状 结 
构 去 构造 网 络 拓扑 ， 用 于 链 路 元 余 和 防止 桥接 组 。 这 里 我 们 要 理解 一 个 
叫 作 BPDU (Bridge Protocol Data Unit， 网 桥 协议 数据 单元 ) 的 概念 ， 
BPDU 是 相 邻 交换 机 之 间 传 递 的 一 种 特殊 管理 帧 ， 用 于 在 网 桥 之 间 进 行 
信息 交换 。STP 通过 BPDU 选择 根 网 桥 和 阻塞 端口 ， 而 STP 的 关键 就 
在 于 根 网 桥 和 阻塞 端口 。 
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图 4.1.33 通过 BPDU 选择 根 网 桥 和 阻塞 端口 





protocol Identifier: Spanning Tree Protocol (0x0000) 
Prorocol Version ldentifier: Spanning Tree (0) 
BPDU Type: Configuration (0xD0) 
S 8PDU flags: Ox00 
和 No 
.. .0 = Topolog 
名 Rt Tdenter: rg 22;56:b1:02:00 
Root Bridge priority: 32768 
Root Bndge System ID Extension: 4 
de he Cisco_bl:02;00 (00:22:;56:b1:02;00) 





=| Cr 32768 / 1/ 00:22:565:b1:;02:00 
Bridge priority: 32768 
Bridge System iD Extansion: 1 
DS Cisco bl:02:00 (00:;22:56:;b1:02:00) 





图 4.1.34 通过 交换 BPDU 来 选择 根 网 桥 和 阻塞 端口 
根 网 桥 取 决 于 网 桥 优先 级 


根 网 桥 是 指 由 STP 形成 的 、 相 当 于 逻辑 树 状 结构 根部 〈root) 部 分 的 交 
换 机 。 离 开 了 根 网 桥 ，STP 就 无 从 谈 起 。 根 网 桥 是 根据 网 桥 ID 选择 出 
来 的 ， 而 网 桥 ID 则 是 由 网 桥 优 先 级 和 MAC 地 址 组 成 的 。 








16 位 48 位 
图 4.1.35 根据 网 桥 ID 选 出 根 网 桥 


STP 处 于 激活 状态 的 交换 机 一 经 连接 ， 就 会 交换 BPDU 并 比较 网 桥 
ID。 比 较 并 不 是 将 网 桥 优先 级 和 MAC 地 址 作为 一 个 整体 进行 的 ， 而 是 
有 一 定 的 先后 顺序 。 首 先是 比较 网 桥 优 先 级 ， 网 桥 优先 级 最 低 的 交换 机 
将 当选 为 根 网 桥 ， 第 二 低 的 交换 机 则 当选 为 第 二 根 网 桥 。 当 根 网 桥 友 生 
故障 时 ， 第 二 根 网 桥 就 会 项 丛 上 去 成 为 新 的 根 网 桥 ， 因 此 第 二 根 网 桥 相 
当 于 是 一 道 为 根 网 桥 上 的 保险 。 如 果 网 桥 优先 级 者 相同， 那么 束 得 比较 
MAC 地 址 了 ，MAC 地 址 最 小 的 交换 机 将 当选 为 根 网 桥 。 


在 真实 的 网 络 环境 中 ， 人 们 通常 将 网 桥 优 先 级 设置 成 静态 的 ， 根 据 网 桥 

优先 级 去 选择 根 网 桥 ， 而 不 让 MAC 地 址 起 决定 性 的 作用 。 因 此 ， 对 于 

OR ee 
行 。 
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图 4.1.36 根 网 桥 取 决 于 网 桥 优 先 级 

阻塞 端口 取决 于 路 径 开 销 

阻塞 端口 是 端口 的 一 种 ， 其 重要 作用 是 让 环 回 结构 成 为 树 状 结构 。 和 根 
网 桥 在 逻辑 上 相距 最 远 的 端口 就 是 阻塞 端口 。 计 算 端 口 和 根 网 桥 之 间 的 


距离 时 要 用 到 一 个 叫 作 路 径 开销 的 值 ， 这 个 值 是 有 具体 规定 的 ， 不 同 的 
链 路 市 完 有 着 不 同 的 路 径 开 销 值 ， 具 体 情况 如 下 表 所 示 。 











路 径 开 销 





100Mbit/s 19 





1000Mbit/s (1Gbit/s) 


我 们 根据 BPDU 中 包含 的 路 径 开销 算出 各 个 端口 到 根 网 桥 的 距离 ， 然 后 
进行 比较 ， 数 值 最 大 的 那个 端口 将 成 为 阻塞 端口 。 如 果 到 根 网 桥 的 距离 
都 相同 ， 那 就 要 比较 网 桥 ID 了 ， 网 桥 ID 最 大 的 端口 将 成 为 阻 旱 端口 。 
ne 它 是 被 完全 排除 在 拓扑 范围 之 外 











a 根据 路径 开销 计算 北 己 到 
此 凤 标 为 根 嘴 村 的 距 高 


要 网 括 路 径 开销 : 4 
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路 径 开 销 ; 4 


图 4.1.37 决定 阻塞 端口 
。 固定 逻辑 链 路 的 路 径 开 销 


通过 链 路 聚合 连接 交换 机 的 时 候 ， 我 们 应 注意 迎 辑 链 路 的 路 径 开 
销 。 按 照 默 认 的 设置 ， 构 成 逻辑 链 路 的 物理 链 路 一 旦 中 断路 径 开 销 
就 会 改变 ， 于 是 会 重新 进行 STP 计算 ， 而 这 个 重新 计算 的 结果 可 
能 会 导致 阻塞 端口 发 生变 化 。 








图 4.1.38 ”按照 默认 的 设置 ， 物 理 链 路 一 旦 中 断路 径 开 销 就 会 改 


变 


为 了 避免 多 余 的 重新 计算 ， 逻 辑 链 路 的 路 径 开 销 对 逻辑 链 路 应 设置 
成 静态 的 才 行 。 比 方 说 ， 如 果 使 用 的 是 Catalyst 交换 机 ， 通 过 设置 
链 路 聚合 会 产生 一 个 叫 作 Port-Channel 接口 的 逻辑 端口 ， 我 们 应 该 
i 
常 o 





二 人 二 上 ， 
路 径 开销 也 不 会 改变 





根 网 桥 路 径 开销 . 3 





图 4.1.39 对 未 辑 链 路 设置 路 径 开 销 


以 VLAN 为 单位 进行 负载 均衡 


BPDU 是 以 VLAN 为 单位 生成 的 管理 帧 ， 因 此 ， 根 网 桥 和 阻塞 端口 也 是 
以 VLAN 为 单位 决定 的 。STP 在 通信 的 处 理 和 带宽 的 负载 均衡 中 很 好 
地 利用 了 这 种 设计 。 


。 通信 处 理 的 负载 均衡 


在 拥有 众多 VLAN 的 环境 中 ， 如 果 我 们 把 所 有 的 根 网 桥 都 汇集 到 

一 台 交 换 机 上 ， 是 绝对 无 法 进行 高 效 处 理 的 。 根 网 桥 掌 握 着 STP 

的 一 切 ， 可 以 说 是 首领 一 样 的 交换 机 。 把 所 有 VLAN 中 的 STP 处 
理 都 交 给 一 台 根 网 桥 交 换 机 的 话 ， 人 处 理 负 和 葆 会 过 于 和 集中。 所 以 ， 我 
De 0 
J 分 配 。 
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图 4.1.40 ”为 每 个 VLAN 都 选择 不 同 的 根 网 桥 ， 让 负载 得 到 均衡 
的 分 配 


带宽 的 负载 均衡 


前 面 已 经 讲 过 ， 根 网 桥 也 决定 着 阻塞 端口 。 因 此 ， 人 
网 桥 都 集中 到 一 台 交 换 机 上 ， 那 么 所 有 VLAN 的 阻塞 端口 就 会 

到 同一 处 ， 这 会 使 通信 流量 过 于 集中 在 某 条 特定 的 链 路 上 。 因此 
我 们 必须 为 每 个 VLAN 都 选择 不 同 的 根 网 桥 和 阻塞 端口 。 改 变 根 
网 桥 能 让 VLAN 的 通信 流量 走 另 外 的 链 路 ， 最 终 达 到 带宽 负载 均 
衡 分 配 的 效果 。 














图 4.1.41 为 每 个 VLAN 都 选择 不 同 的 路 径 ， 让 带宽 负载 得 到 均 
衡 的 分 配 


应 将 阻塞 端口 安排 到 这 里 ! 


通过 STP 实现 链 路 见 余 时 ， 其 标准 的 物理 结构 以 及 相应 的 设计 基本 上 
是 约定 俗 成 的 。 标 准 的 物理 结构 有 三 角形 结构 和 四 方形 结构 两 种 ， 下 面 
就 详细 讲解 在 这 两 种 结构 中 ， 分 别 需 要 将 阻塞 端口 安排 到 何 处 。 


三 角形 结构 


三 角形 结构 是 由 根 网 桥 、 第 二 根 网 桥 和 非 根 网 桥 构成 的 ， 呈 三 角 
状 ， 是 最 容易 理解 也 最 为 常见 的 一 种 结构 。 在 这 种 结构 中 ， 非 根 网 
桥 连 接 第 二 根 网 桥 的 端口 会 被 阻塞 。 


在 三 角形 结构 中 ， 所 有 交换 机 的 根 路 径 开 销 (到 根 网 桥 的 路 径 开 销 
合计 值 ) 都 是 一 样 的 。 因 此 ， 只 要 通过 网 桥 优 先 级 选 出 根 网 桥 和 第 
二 根 网 桥 ， 我 们 的 目标 端口 束 会 被 目 动 阻 蹇 。 这 里 的 关键 在 于 根 网 
桥 和 第 二 根 网 桥 的 位 置 。 


和 三根 通过 网 桥 优先 级 选 出 根 
. 根 网 标 , 村 网 桥 各 第 三 根 网 标 
优先 级 : 0 优先 级 : 4096 
要 路 径 开销 ， 一 根 路 径 开 销 : 4 
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优先 级 : 32768 
根 路 径 开 销 : 4 


图 4.1.42 在 三 角形 结构 中 只 需 决 定 根 网 桥 和 第 二 根 网 桥 即 可 
四 方形 结构 


四 方形 结构 是 由 根 网 桥 、 第 二 根 网 桥 和 两 台 非 根 网 桥 构成 的 ， 呈 四 
方形 ， 极 为 少见 。 在 这 种 结构 中 ， 连 接 不 同 非 根 网 桥 的 设备 之 间 的 
通信 并 不 经 过 上 层 ， 因 此 ， 被 阻塞 的 是 位 于 根 网 桥 对 角 处 的 非 根 网 
桥 中 连接 第 二 根 网 桥 的 端口 。 


在 四 方形 结构 中 ， 根 网 桥 和 位 于 根 网 桥 对 角 处 的 交换 机 之 间 的 路 径 
有 两 条 ， 它 们 的 根 路 径 开销 是 一 样 的 。 为 了 让 连接 第 二 根 网 桥 的 端 
口 成 为 阻塞 端 口 ， 我 们 必须 对 路 径 开 销 进 行 操作 。 具 体 方法 如 下 : 
在 经 过 第 二 根 网 桥 的 路 径 某 处 加 上 路 径 开 销 ， 或 者 是 在 经 过 并 排 非 
根 网 桥 的 路 径 某 处 减 去 路 径 开 销 。 在 四 方形 结构 中 ， 我 们 不 仅 要 注 
意 根 网 桥 和 第 二 根 网 桥 的 位 置 ， 还 必须 考虑 路 径 开 销 。 








> EE 通过 网 桥 优先 级 选 出 
根 网 稀 ; 一 
优先 级 .0 可 本 406 根 网 桥 和 第 二 根 网 桥 
根 路 径 开销 ， 一 ”路径 开交 | 根 路 径 开 销 : 4 
进行 操作 
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优先 级 32768 优先 级 ，32768 
根 路 径 开 销 :4 要 路 径 开 销 : 8 





根 路 径 开销 - 
4+4=8 


图 4.1.43 ”在 四 方形 结构 中 要 对 路 径 开 销 进行 操作 
4.1.2.2 ”STP 有 三 种 


STP 有 三 种 ， 分 别 是 PVST (Per VLAN Spanning-Tree， 每 VLAN 生成 
树 ) 、RSTP (Rapid Spanning-Tree， 快 速生 成 树 协议 ) 和 

MST (Multiple Spanning-Tree， 多 生成 树 ) 。 其 中 ，PVST 是 最 造 出 现 
的 ， 后 来 为 了 填补 PVST 的 缺陷 又 相继 出 现 了 RSTP 和 MST。 它 们 的 工 
作 机 制 各 不 相同 ， 但 设计 重点 都 在 于 收 剑 时间。 收敛 时 间 是 指 端口 状态 
从 切换 之 后 到 稳定 下 来 所 需 的 时 间 。 


表 4.1.2 STP 分 PVST、RSTP 和 MST 三 种 


司 独 有 IEEE802.1w IEEE802.1s 





收敛 方式 基于 定时 器 基于 事件 基于 事件 


VLAN VLAN MST 区 域 
VLAN VLAN 实例 


VLAN VLAN 实例 
VLAN VLAN 实例 





人 们 一 般 使 用 PVST 


PVST 是 STP 中 最 常用 的 一 种 ， 其 基本 原理 在 前 面 已 经 介绍 过 了 。 各 交 
换 机 先是 交换 BPDU 并 选 出 根 网 桥 ， 然 后 再 选 出 阻塞 端口 ， 等 这 些 处 理 
都 稳定 下 来 之 后 就 通过 互相 发 送 BPDU 定期 监控 彼此 的 状态 ， 如 果 有 一 
方 在 一 定时 间 之 内 没有 收 到 BPDU， 或 是 收 到 了 来 自 根 网 桥 的 、 表 示 拓 
扑 变更 的 BPDU (TCN BPDU) ， 系 统 就 会 认为 发 生 了 故障 ， 并 执行 几 
道 重 新 计算 之 后 将 阻塞 端口 释放 。 


作为 一 种 协议 ，PVST 曾经 是 初期 STP 环境 的 坚强 后 盾 。 然 而 它 有 一 个 
足以 致命 的 缺点 ， 那 就 是 收敛 时 间 太 长 。PVST 基于 “Hello 定时 器 ”(2 
秒 ) 、“ 最 大 失效 定时 器 ”(20 秒 ) 和 “转发 延迟 定时 器 ”(15 秒 ) 这 三 

个 定时 器 执行 收敛 处 理 ， 它 们 都 会 直接 影响 收敛 时 间 的 长 短 。 







和 蓝 王 羔 态 





即使 已 经 超过 最 
大 失效 时 间 {120 
秒 ), 有 和 要 没有 
收 到 BPDU 就 会 





始 昕 相 邻 设备 的 谷 习 相 争 设备 的 
状态 并 进行 STP 状态 并 生成 MAC 
地 址 表 。 趟 过 转 
发 延迟 时 间 {15 
秒 ] 后 会 转 入 进 


进入 监听 状态 
发 状态 。 尚 无 法 
转发 数据 


图 4.1.44 PVST 基于 定时 器 执行 收敛 处 理 


如 果 人 处理 必须 按照 一 定 的 顺序 执行 ， 前 一 个 处 理 结 束 之 后 才能 进入 下 一 
个 处 理 ， 那 么 收敛 时 间 肯 定 是 会 比较 长 的 。PVST 的 所 有 端口 都 是 按照 
阻塞 、 监 听 、 运 行 、 转 发 这 个 顺序 进行 计算 的 ， 到 释放 阻塞 端口 为 止 ， 
需要 50 秒 钟 的 时 间 〈20 秒 十 15 秒 x2) ， 而 50 秒 对 于 关键 任务 环境 来 
说 太 长 了 ，RSTP 和 MST 就 是 为 了 弥补 这 个 缺点 而 出 现 的 。 


RSTP 能 够 快速 完成 收敛 工作 
RSTP 是 为 了 弥补 PVST 收敛 时 间 较 长 这 个 缺点 而 出 现 的 ， 它 由 


IEEE802.1w 定义 。RSTP 通过 发 送 BPDU 执行 两 个 分 别 叫 作 提案 和 同意 
的 握手 处 理 ， 由 此 迅速 掌握 对 方 的 状态 。 
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图 4.1.45 ”通过 提案 和 同意 处 理 来 掌握 对 方 的 状态 


经 过 改良 ，RSTP 处 理 故 障 的 速度 也 比 PVST 提高 了 很 多 。 如 果 是 拥有 
阻塞 端口 的 交换 机 发 生 了 直接 性 的 链 路 故障 ，RSTP 会 立即 释放 阻塞 端 
口 。 如 果 是 没有 阻塞 端口 的 交换 机 发 生 了 链 路 故障 ， 则 由 发 生 故 障 的 交 





换 机 对 经 过 TC (Topology Change， 拓 扑 变 更 ) 置 位 的 BPDU 进行 泛 潜 
处 理 ， 癌 整个 网 络 通 知 拓扑 结构 的 变化 。 接 下 来 ， 通 过 提案 和 同意 再 次 
执行 握手 处 理 ， 然 后 立即 释放 阻塞 端口 。RSTP 不 像 PVST 那样 基于 定 
好 的 定时 器 顺序 去 逐一 处 理 ， 所 以 不 必 等 前 一 个 的 处 理 结束 之 后 才 开 始 
下 一 个 。 它 是 受 事件 触发 而 启动 的 ， 仪 需 短 短 一 秒 钟 的 时 间 便 能 完成 收 
敛 工作 。 除 非 是 极度 敏感 的 应 用 程序 ， 人 否则 都 不 会 觉察 觉 到 有 过 这 样 一 
瞬 而 过 的 通信 中 断 。 
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图 4.1.46 RSTP 能 够 迅速 进行 切换 
MST 能 够 同时 兼顾 快速 和 高 效 


MST 和 RSTP 一 样 ， 也 是 为 了 弥补 PVST 收敛 时 间 较 长 这 个 缺点 而 出 现 
的 一 种 协议 。 它 由 IEEE802.1s 定义 ， 基 本 机 制 也 和 RSTP 一 样 ， 通 过 提 
案 和 同意 去 掌握 对 方 的 状态 ， 受 事件 触发 而 启动 ， 目 的 是 缩短 收敛 时 

间 。 不 过 相 比 RSTP，MST 还 多 出 了 一 个 新 的 概念 ， 那 就 是 用 来 提高 处 
理 效率 的 “实例 ”。 粗 略 地 讲 ， 实 例 就 是 由 多 个 VLAN 构成 的 群 组 。 
PVST 和 RSTP 都 是 以 VLAN 为 单位 运作 的 协议 ， 因 此 ， 当 环境 中 有 大 
量 VLAN 存在 时 我 们 就 需要 一 个 个 地 去 处 理 和 管理 。 而 MST 是 在 每 个 
MST 区 域 ? 中 生成 BPDU 并 以 实例 为 单位 运作 ， 这 样 ， 我 们 就 能 以 实 
例 为 单位 去 执行 处 理 和 管理 了 ， 不 光 处 理 本 身 ， 整 个 运行 管理 的 效率 都 


能 获得 提高 。 























| 9 MST 区 域 是 指 拥有 相同 的 MST 设置 且 彼 此 连接 的 交换 机 的 群集 。 
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图 4.1.47 MST 以 实例 为 单位 进行 处 理 

4.1.2.3 ”同时 启用 多 项 可 选 功 能 

STP 并 不 是 单枪匹马 发 挥 作 用 的 ， 有 很 多 备 选 功能 可 供 使 用 ， 我 们 应 根 
据 实际 的 网 络 环境 选择 合适 的 可 选 功能 。 下 面 就 介绍 一 下 最 近 在 网 络 环 
境 中 非常 常见 的 PortFast 和 BPDU 守护 这 两 种 可 选 功能 。 


PortFast 功能 


将 STP 激活 之 后 ， 所 有 的 端口 都 会 按照 阻塞 、 监 听 、 运 行 、 转 发 这 个 
顺序 去 进行 计算 。 这 些 计 算 结 束 之 后 比特 流 才能 被 转发 出 去 ， 大 约 需要 
50 秒 钟 的 等 待 时 间 。 然 而 ， 对 于 连接 服务 器 和 PC 的 端口 这 种 发 生 环 回 
的 可 能 性 非常 低 的 端口 来 说 ， 这 些 计算 是 晨 无 必要 的 。 于 是 人 们 为 STP 
开发 出 了 PortFast 功能 ， 它 能 让 端口 连接 成 功 之 后 马上 就 进入 转发 状 

态 。 只 要 我 们 激活 PortFast 功能 ， 端 口 就 能 迅速 进入 转发 状态 ， 因 此 连 
接 一 成 功 就 可 以 马上 转发 比特 流 了 。 





= 直接 进 信 千 败 杖 六 


中 
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图 4.1.48 ”对 于 连接 终端 和 服务 器 的 端口 应 激活 它们 的 PortFast 功能 


有 些 服务 器 的 使 用 手册 中 可 能 写 有 “请 勿 激活 STP 功能 "这样 的 字句 ， 但 
却 没有 给 出 详细 的 解释 。 明 明 是 需要 通过 STP 去 实现 高 可 用 性 的 环 
境 ， 却 又 不 允许 激活 STP 功能 ， 这 是 不 可 能 的 。 如 果 看 到 这 样 的 使 用 
手册 ， 我 们 可 以 认为 这 是 在 要 求 我 们 在 连接 的 端口 中 设置 PortFast 功 
能 。 

BPDU 守护 功能 

BPDU 守护 是 指 设 定 了 PortFast 功能 的 端口 一 旦 收 到 BPDU 就 会 强制 关 
闭 该 端口 的 功能 。 前 面 已 经 提 到 过 ，PortFast 功能 是 针对 那些 不 太 可 能 


发 生 环 回 的 、 连 接 PC 和 服务 需 的 端口 而 设置 的 。 然 和 而， 事实 上 我 们 谁 
也 无 法 保证 环 回 一 定 不 会 发 生 。 例 如 ， 我 们 在 运行 管理 中 偶尔 会 听 到 这 





样 的 事 : 用 户 将 原本 用 于 连接 PC 的 端口 擅自 接 到 了 集线器 上 ， 结 果 导 
致 了 环 回 的 发 生 。 为 了 避免 出 现 这 种 情况 ， 我 们 应 开局 BPDU 守护 功 


能 。 
: + BPDU 守护 
端口 一 收 到 BPDU 二 


就 会 被 强制 关闭 






图 4.1.49 ”端口 收 到 BPDU 时 就 会 被 强制 关闭 
4.1.2.4 ”利用 BPDU 切断 桥接 环 路 
如 今 ，STP 在 元 余 技术 中 早已 风光 不 再 ， 但 这 并 不 意味 着 它 即 将 销 声 匿 


迹 ， 因 为 它 有 一 个 看 家 本 领 ， 那 就 是 能 够 避免 桥接 坏 路 的 产生 。 今 后 ， 
STP 很 可 能 会 凭借 这 一 特色 继续 存在 下 去 。 


桥接 环 路 是 足以 致命 的 


首先 ， 我 们 来 看 看 什么 是 桥接 环 路 。 桥 接 环 路 是 一 种 以 太 网 帧 在 路 径 上 
环 回 不 止 的 现象 ， 它 是 由 物理 层面 和 逻辑 层面 的 环 回 结构 造成 的 。 交 换 
机 会 对 广播 进行 泛 洪 处 理 ， 于 是 ， 当 有 环 路 存在 的 时 候 ， 广 播 被 转发 出 
去 之 后 过 到 泛 洪 处 理 ， 就 会 被 无 休止 地 重复 转发 ， 最 终 导 致 通信 中 断 。 








加 对 非 接 收 辫 口 的 满口 。 ”名 对 非 接 收 端 口 的 端口 


Ea Ea 


L2 交换 机 非 答 理 对 象 的 L2 交换 机 





图 4.1.50 广播 环 回 不 止 


以 前 ， 笔 者 负 员 的 茶 位 客户 曾经 捅 过 这 样 一 个 净 子 一 一 他 对 一 个 来 路 不 
明 的 集线器 做 了 环 回 连 接 ， 结 果 导 致 桥接 环 路 的 产生 ， 出 了 事故 。 用 他 
的 描述 就 是 “ 集 线 需 机 房 打 雷 了 ”， 这 人 句 话 给 我 留 下 了 深刻 的 印象 ， 简 直 
就 是 我 心目 中 不 可 磨灭 的 名 言 。 想 来 “打雷 ”应 该 是 所 有 交换 机 端口 的 
LED 灯 一 起 内 光 了 的 缘故 ， 那 还 真是 “ 电 内 雷鸣 ?的 场面 啊 。 当 时 ， 由 于 
整 栋 楼 的 核心 交换 机 起 着 核心 路 由 选择 的 作用 ， 整 栋 楼 的 7000 个 站 
同时 断 控 ， 通 信和 在 有限 之 间 残 全 面 陷 入 了 瘫痪 ， 实 在 是 太 可 怕 了 ..….…….. 所 
以 ， 我 们 绝 不 能 让 桥接 环 路 发 生 。 尤 其 是 近年 ， 考 虑 到 运行 管理 的 便利 
性 ， 人 人们 往往 会 采用 “利用 核心 路 由 选择 将 VLAN 尽量 做 大 ”的 设计 理 
念 ， 然 而 在 这 样 的 环境 中 一 旦 及 生 桥 接 环 路 ， 其 影响 之 大 、 后 果 之 严重 
将 不 堪 设 想 。 对 此 ， 我 们 一 定 要 备 有 万 全 之 策 。 


利用 BPDU 守护 功能 切断 环 路 


我 们 可 以 利用 BPDU 守护 功能 来 切断 桥接 环 路 。 桥 接 环 路 是 很 少 发 生 在 
网 络 管理 人 员 的 管理 范围 内 的 ， 而 是 大 多 发 生 在 服务 器 和 用 户 端口 这 些 
管理 人 员 管理 范围 之 外 的 地 方 ， 的 确 从 人 的 天 性 来 说 ， 看 到 闲置 的 端口 
就 会 想 要 派 上 用 场 吧 。 


对 于 连接 服务 器 和 用 户 终端 的 端口 ， 我 们 应 激活 它们 的 PortFast 功能 ， 
同时 设置 BPDU 守护 功能 。BPDU 守护 功能 的 机 制 是 ， 当 激活 了 


























PortFast 功能 的 端口 收 到 BPDU 时 会 被 强制 关闭 。 如 果 有 环 路 存在 ， 计 
划 之 外 的 BPDU 就 会 被 发 送 到 PortFast 功能 已 被 激活 的 端口 中 去 ， 
人 守护 功能 会 马上 截 住 这 些 BPDU 并 关闭 端口 ， 这 样 ， 环 路 就 被 切 


前 面 已 经 讲 过 ， 作 为 一 项 宛 余 技术 ，STP 早已 被 StackWise 技术 和 VSS 
取代 ， 不 会 再 有 大 的 作为 了 ， 然 而 它 能 够 避免 桥接 环 路 这 个 特色 还 是 会 
继续 发 扬 下 去 的 。 


; | 权 源 活 PostFast 功能 ; :| 同时 激活 PostFast 和 BPDU 六 沪 功 擅 
A ER :; 
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图 4.1.51 利用 BPDU 守护 功能 切断 环 路 


不 过 ，BPDU 守护 功能 并 不 是 万 能 的 。 假 设 存在 一 台 收 到 BPDU 后 将 其 
丢弃 的 交换 机 ， 而 有 人 又 擅自 环 回 连接 上 了 该 交换 机 ， 那 么 还 是 会 导致 
通信 中 断 ， 在 一 瞬 之 间 形 成 环 路 的 。 因 此 ， 我 们 应 该 指定 好 管理 规定 ， 
不 用 的 端口 务必 要 关闭 掉 。 


4.1.3 ”网 络 层 的 见 余 技术 


关于 网 络 层 的 元 余 技术 ， 我 们 只 需 掌 握 FHRP (First Hop Redundancy 
Protocol， 第 一 跳 元 余 协议 ) 和 路 由 协议 就 足够 了 了。 这 两 个 协议 在 服务 





璐 器 互 相合 作 ， 共 同 实现 元 余 备 份 。 下 面 就 分 别 讲解 一 下 这 两 个 协议 。 
4.1.3.1 FHRP 


FHRP 是 一 种 用 于 实现 服务 器 和 PC 的 第 一 跳 ， 也 就 是 默认 网 关 风 余 备 
份 的 协议 。 它 在 很 早 之 前 就 被 广 为 使 用 了 ， 可 以 说 是 见 余 备份 的 基础 要 
素 。 目 前 ，LAN 中 的 FHRP 虽然 正在 被 StackWise 技术 和 VSS 逐渐 取 
代 ， 但 依然 占有 一 席 之 地 。 此 外 ，FHRP 在 防火 墙 和 负载 均衡 器 的 基础 
元 余 技术 中 也 有 着 用 武之 地 ， 好 好 掌握 它 是 有 利 无 次 的 。 


两 种 常用 的 FHRP 


FHRP 使 多 个 默认 网 关 就 像 一 个 虚拟 的 默认 网 关 那 样 运作 ， 以 此 来 实现 
宛 余 备 份 。 它 将 两 台 设 备 共 享 的 卫 地 址 设 为 虚拟 IP 地 址 ， 然 后 将 该 虚 
拟 IP 地 址 当 作 默认 网 关 使 用 ， 


可 用 于 路 由 器 和 LL3 交换 机 的 FHRP 共有 三 种 ， 分 别 是 HSRP (Hot 
Standby Routing Protocol， 热 备份 ) 路 由 协 议 ) 、VRRP (Virtual Router 
Redundancy Protocol， 虚 拟 路 由 器 见 余 协议 ) 和 GLBP (Gateway Load 
Balancing Protocol， 网 关 人 负载 均衡 协议 ) 。 在 这 三 种 协议 中 人 们 一 般 会 
选用 HSRP 或 VRRP， 下 面 本 书 就 详细 介绍 这 两 种 协议 。 


表 4.1.3 关于 FHRP 只 需 掌 握 HSRP 和 VRRP 即 可 


FHRP 的 种 类 HSRP VRRP 








i EE 


活动 路 由 器 主 路 由 器 
构成 组 的 路 由 器 备用 路 由 器 
























































224.0.0.2 224.0.0.18 


Hello 间 隔 (发 送 Hello 数 
据 包 的 间隔 ) 


Hold 时 间 〈 判 断 出 故障 的 
时 间 ) 






































设 成 不 同 于 真实 下 地 址 | 可 设 成 和 真实 下 地 址 相同 的 IP 
虚拟 下 地 二 的 PP 地址 




















。 00-00-0C-07-AC- 00-00-5E-00-01-XX (XX 为 虚拟 
虚拟 MAC 地 址 XX (XX 为 组 ID) 路 由 器 的 ID ) 


Preempt 功 能 (自动 恢复 ) | 默认 为 休眠 状态 默认 为 激活 状态 








ww 


。 HSRP 


HSRP 是 思科 公司 独 有 的 FHRP， 如 果 网 络 环 境 采 用 的 全 是 清一色 
的 思科 设备 ， 那 么 考虑 使 用 HSRP 是 绝对 没 错 的 。 


HSRP 通过 Hello 数据 包 中 的 组 ID 相互 识别 ， 然 后 比较 优先 级 〈 优 
先 的 程度 ) ， 将 优先 级 最 高 的 那 合 路 由 器 设置 为 活动 路 由 器 ， 其 他 
的 设置 为 备用 路 由 器 。 对 于 希望 其 成 为 活动 路 由 需 的 设备 ， 我 们 应 
将 它 的 优先 级 设置 得 比 备 用 路 由 器 的 更 高 。 


Hello 数据 包 实 际 上 就 是 一 种 UDP 多 播 。 在 源 IP 地 址 中 写 入 各 台 
路 由 器 的 真实 IP 地 址 ， 在 目的 IP 地 址 中 写 入 224.0.0.2， 在 源 / 目 
的 端口 号 中 写 入 UDP/1985， 然 后 对 构成 HSRP 所 必需 的 这 些 信息 
进行 封包 处 理 。 


BB 1.029000 192.168.1.253 224.0.0.2 Le HSAP 62 FE ee 


BE INternet Protocol Varson 3, Src: 192.168.1,253 (192. a a 
凤 ale dd SHG Ce Dst Port hsrp (1985) 


Oop Code: Hello (0) 
Staste: Active (16) 
Hellotime: Defsult (3) 
Holdtime: Default (10) 


Authentication Data: Defeult (cisco) 
Virtual IP Address: 192.168.1,254 (192.1658,1,254) 


O000 D1 ON Seo00 N00 0007 0001 O050045 OI, Ny, oned 
030000000 0 01311 1656¢0 pO OL e0000.0....,. ,VM,.... 
00 O207 ci O7 .ct 00 15 29 5 0000 10030a6 TF 
oi006359 必 000000¢0 3801 和 得 








图 4.1.52 通过 Hello 数据 包 的 组 ID 相互 识别 
一 般 来 说 ， 只 有 活动 路 由 器 才 会 接收 用 户 的 通信 流量 并 基于 路 由 表 











的 信息 去 转发 数据 包 。 双方 每 阳 3 秒 会 互相 发 送 Hello 数据 包 ， 如 
果 其 中 一 方 超过 10 秒 未 能 收 到 Hello 数据 包 ， 或 是 收 到 了 优先 级 
较 低 的 Hello 数据 包 ， 那 么 备用 路 由 器 就 会 接 蔡 原来 的 活动 路 由 器 
工作 ， 原 理 就 是 这 么 简单 。 
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图 4.1.53 ”通过 Hello 数据 包 了 解 对 方 的 状态 


。 VRRP 





VRRP 是 由 RFC 定义 的 FHRP， 一般 用 在 由 多 家 供应 商 提 供 的 不 同 
品牌 设备 所 组 成 的 环境 中 。 我 们 可 以 认为 VRRP 的 工作 原理 和 
HSRP 的 基本 上 是 一 样 的， 二 者 只 是 在 名 称 和 设计 上 有 一 些微 妙 的 
区 别 而 已 ， 我 们 只 要 弄 清 楚 这 些 区 别 所 在 就 可 以 了 。 


VRRP 通过 Advertisement 数据 包 中 的 虚拟 路 由 器 ID 相互 识别 ， 然 
后 比较 优先 级 ， 将 优先 级 最 高 的 那 台 路 由 器 设置 为 主 路 由 器 ， 其 他 
的 设置 为 备份 路 由 占 。 对 于 希望 其 成 为 主 路 由 占 的 设备 ， 我 们 应 将 
它 的 优先 级 设置 得 比 备份 路 由 器 的 更 高 。 


Advertisement 数据 包 实 际 上 就 是 一 种 多 播 。 在 源 IP 地 址 中 写 入 各 
台 路 由 器 的 真实 卫 地 址 ， 在 目的 IP 地 址 中 写 入 224.0.0.18， 然 后 
对 构成 VRRP 所 必需 的 这 些 信息 进行 封包 处 理 。 











3 Virtual Router Redundancy Protocol 


3 Verson 2, Packet type 1 (Advertissment) 用 二 过 区 入 此 由 祁 人 
Virtual Rtr ID: 1 相互 识别 
prionty; 100 (Default priority for a backup VRRP router) 


Addr Count: 1 


Auth Type; No Authentication (0) 
Adver Int: 1 

Checksum: Oxb952 {correct] 

IP Address: 192.169.1,1 (192.168,1.1) 





图 4.1.54 通过 Advertisement 数据 包 的 虚拟 路 由 器 ID 相互 识别 


一 般 来 说 ， 只 有 主 路 由 器 才 会 接收 用 户 的 通信 流量 并 基于 路 由 表 的 
信息 转发 数据 包 。 双 方 每 隔 1 秒 会 互相 发 送 Advertisement 数据 

包 ， 如 果 其 中 一 方 超过 3 秒 未 能 收 到 Advertisement 数据 包 ， 或 是 
收 到 了 优先 级 较 低 的 Advertisement 数据 包 ， 备 份 路 由 器 就 会 接替 
原来 的 主 路 由 器 工作 ， 原 理 和 HSRP 一 样 非常 简单 。 
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图 4.1.55 ”通过 Advertisement 数据 包 了 解 对 方 的 状态 
基于 Hello 报 文 的 接收 情况 执行 故障 转移 
当 备 用 路 由 器 在 Hold 时 间 内 未 能 收 到 Hello 报 文 ， 或 是 收 到 了 优先 级 
较 低 的 Hello 报 文 时 ，FHRP 就 会 执行 故障 转移 。 下 面 我 们 来 分 别 了 解 
一 下 这 两 种 情况 。 
。 Hold 时 间 超 时 
备用 路 由 器 收 不 到 Hello 报 文 的 情况 也 许 比 较 容 易 想 象 。 当 活动 路 
由 器 发 生 故 障 ， 或 是 发 送 Hello 报 文 的 接口 有 问题 的 时 候 ，Hello 报 


文 束 会 发 不 出 去 。 于 是 备用 路 由 器 收 不 到 来 自 活动 路 由 器 的 Hello 
报 文 ，FHRP 执行 故障 转移 。 


洁 动 路 击 履 发 生 故障 


HSRP 址 由 性 人 有 HSRP 座 由 如 


了 
| 待机 状态 ~* 却 动 状 并 1 | 和 社 轴 杖 六 一 活动 状态 )| 





图 4.1.56 ”活动 路 由 器 或 接口 的 故障 导致 Hold 时 间 超 时 


。 收 到 优先 级 较 低 的 Hello 报 文 


活动 路 由 器 和 备用 路 由 器 是 由 Hello 报 文中 的 优先 级 决定 的 。 
FHRP 会 对 特定 对 象 的 状态 〈 接 口 、 玻 通 情况 等 ) 进行 监控 ,一旦 
发 现 故 障 ， 就 通过 一 个 叫 作 追踪 的 功能 将 当前 活动 路 由 器 的 优先 级 
降低 。 这 样 ， 当 监控 对 象 发 生 故 障 时 ，FHRP 就 会 发 出 一 个 优先 级 
已 降低 的 Hello 报 文 ， 促 使 故障 转移 启动 。 


我 们 以 下 图 所 示 的 结构 为 例 来 具体 看 一 下 。 在 这 个 不 进行 追踪 处 理 
和 即使 WAN 接口 发 生 故 障 ，FHRP 也 不 会 执行 故障 转 
移 ， 结 果 导 臻 通信 路 径 失 谐 。 


下 面 我 们 加 入 追踪 处 理 后 再 来 看 看 。FHRP 在 对 WAN 接口 状态 的 


监控 中 发 现 了 故障 ， 于 是 发 出 一 个 优先 级 已 降低 的 Hello 报 文 。 备 
用 路 由 需 收 到 该 Hello 报 文 之 后 ， 顺 利 升 级 为 新 的 活动 路 由 器 。 
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图 4.1.57 不 进行 追踪 处 理 的话 ， 通 信和 路 径 就 会 失 谐 


5 状 网 (WAN ) 
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图 4.1.58 ”通过 妃 踪 处理 强制 启动 故障 转移 
FHRP 的 运作 流程 


接 下 来 我 们 来 看 看 FHRP 是 是 怎样 实现 活动 /备用 路 由 器 的 元 余 结构 的 。 

部 分 是 FHRP 的 基本 原理 ，HSRP 也 好 ，VRRP 也 好 ， 运 作 流 程 都 是 
一 样 的 。 而 且 ， 防 火 墙 和 负载 均衡 器 的 见 余 备份 采用 的 也 是 同样 的 机 
制 ， 所 以 我 们 应 该 牢 牢 掌握 这 个 部 分 。 


ARP 是 FHRP 的 基础 技术 和 坚强 后 盾 。 人 们 通过 对 ARP 的 控制 让 通信 
流量 集中 到 活动 路 由 器 〈 主 路 由 器 ) 上。 在 FHRP 的 结构 中 ， 活 动 / 备 
用 路 由 器 各 自 拥 有 不 同 的 物理 MAC/P 地 址 ， 但 与 此 同时 ， 双 方 还 拥有 
共享 的 虚拟 MAC/IP 地 址 。 这 个 虚拟 MAC/IP 地 址 由 服务 器 和 PC 的 默 
认 网 关 来 设置 。 


。 正 季 情况 下 的 运作 流程 
首先 我 们 来 看 看 正常 情 况 下 的 运作 流程 。 


1 -， 针对 发 送 给 默认 网 关 卫 地 址 〈 即 虚拟 了 地 址 ) 的 ARP 请 
求 ， 活 动 路 由 器 会 返回 一 个 答复 。 回 复 的 MAC 地 址 即 虚拟 MAC 











地 址 。 虚 拟 MAC 地 址 因 FHRP 而 异 ，HSRP 的 虚拟 MAC 地 址 为 
00-00-0C-07-AC-XX (这 里 的 XX 为 组 ID) ，VRRP 的 虚拟 MAC 
地 址 则 为 00-00-5E-00-01-XX (这 里 的 XX 为 虚拟 路 由 器 ID) 。 


2 -， 在 客户 端的 ARP 条 目 中 写 入 虚拟 MAC 地 址 和 虚拟 IP 地 
址 。 


3 ”数据 包 被 转发 给 活动 路 由 器 。 
4 活动 路 由 器 根据 本 机 中 的 路 由 表 信息 转发 数据 包 。 





4.1.59 ”正常 情况 下 只 有 活动 路 由 右 会 答复 虚拟 IP 的 ARP 请 


。 凡生 故障 时 的 运作 流程 


下 面 我 们 再 来 看 看 启动 故障 转移 时 的 运作 流程 。 

1 -、 活动 路 由 器 发 生 故 障 。 

2 -， 备用 路 由 器 未 能 收 到 来 自 活动 路 由 器 的 Hello 报 文 ， 或 是 收 
到 了 优先 级 较 低 的 Hello 报 文 ， 于 是 升级 为 新 的 活动 路 由 器 ， 同 时 
发 出 GARP 声明 。 

3 ~ GARP 更 新 L2 交换 机 的 MAC 地 址 表 ， 将 通 往 虚拟 IP 地 址 
的 路 径 引 向 新 的 活动 路 由 器 。 此 时 客户 端的 ARP 条 目 并 不 更 新 ， 
虚拟 IP 地 址 的 MAC 地 址 仍然 保持 虚拟 MAC 地 址 的 原样 不 变 。 

4 数据 包 被 转发 给 新 的 活动 路 由 器 。 


5 -新 的 活动 路 由 器 根据 本 机 中 的 路 由 表 信 息 转 发 数据 包 。 


HSRP 路 由 群 | 戎 机 杖 态 】 
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图 4.1.60 ”执行 故障 转移 时 新 的 活动 交换 机 会 发 出 GARP 
注意 ID 冲突 


使 用 FHRP 时 ， 我 们 最 应 该 注意 的 一 点 就 是 要 避免 ID 发 生 冲 突 。FHRP 
是 仅 赁 Hello 报 文 中 的 组 ID 去 识别 FHRP 组 中 的 路 由 器 的 。 因 此 ， 如 
果 FHRP 组 外 的 路 由 器 使 用 了 和 组 内 路 由 器 相同 的 ID，FHRP 就 会 无 法 
正常 运作 。 




















10 如 果 是 VRRP， 则 是 依靠 Advertisement 报 文 中 的 虚拟 路 由 器 ID 去 识别 VRRP 组 中 的 路 由 器 
的 。 


在 连接 构成 FHRP 的 设备 时 ， 我 们 要 做 三 道 确 认 工作 。 首 先 ， 要 看 上 层 
设备 是 否 是 用 了 FHRP。 如 果 回 答 是 肯定 的 ， 要 继续 看 使 用 的 是 哪些 

FHRP。 如 果 使 用 的 是 相同 的 FHRP， 就 还 要 进一步 确认 它们 分 别 使 用 
的 是 什么 ID。 当 上 层 设 备 为 数据 中 心 的 设施 时 ， 使 用 什么 ID 往往 是 有 
具体 规定 的 ， 因 此 遇 到 这 种 情况 ， 我 们 就 要 使 用 指定 好 的 ID。 


让 根 网 桥 和 活动 路 由 器 彼此 对 准 位 置 


数据 链 路 层 通 过 STP 实现 元 余 备 份 ， 网 络 层 则 通过 FHRP 实现 见 余 备 
份 一 一 这 在 不 久之 前 还 曾 是 绝对 的 业界 标准 ， 但 是 最 近 ， 这 对 元 余 技术 
已 经 逐渐 被 StackWise 技术 和 VSS 所 取代 ， 今 后 人 们 在 新 建 元 余 备 份 时 
可 能 就 不 会 再 用 到 它们 了 。 不 过 ， 既 然 它们 仍 将 继续 存在 ， 那 我 们 掌握 
好 它们 的 相关 知识 总 是 有 利 无 次 的 。 


通过 STP 和 FHRP 实现 见 余 备份 的 时 候 ， 我 们 必须 让 根 网 桥 和 活动 路 

由 器 彼此 对 准 位 置 。 如 果 根 网 桥 对 准 的 是 备用 路 由 器 ， 那 么 通信 要 到 达 
上 层 设 备 就 不 得 不 绕 远 。 绕 远 就 会 造成 延迟 ， 既 耽误 时 间 ， 也 影响 效 

率 ， 还 会 给 运行 管理 带 来 一 些 不 必要 的 麻烦 。 因 此 ， 我 们 一 定 要 遵守 让 
STP 的 根 网 桥 和 FHRP 的 活动 路 由 器 彼此 对 准 位 置 这 条 原则 。 


通过 多 个 组 ID 来 实现 活动 /活动 见 余 结构 


FHRP 在 每 个 组 中 采用 的 都 是 活动 /备用 元 余 结 构 。 我 们 不 妨 这 样 认 

为 : 因为 每 个 组 都 有 一 个 虚拟 IP 地 址 ， 所 以 每 个 虚拟 IP 地 址 都 对 应 着 
一 个 活动 /备用 宛 余 结构 。 而 FHRP 也 可 以 利用 这 种 机 制 ， 架 构 出 活动 
/活动 元 余 结 构 。 有 具体 来 说 ， 就 是 以 虚拟 IP 地 址 为 单位 去 切换 活动 机 ， 








这 样 ， 从 整体 的 角度 来 看 就 实现 了 活动 / 活动 风 余 结构 。 毋 良 置 疑 ， 在 
这 种 架构 中 ， 我 们 必须 想 办 法 让 下 属 客户 端的 默认 网 关 能 够 得 到 合理 的 
分 散 ， 人 否则 活动 /备用 元 余 结 构 也 是 无 法 工作 的 。 
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图 4.1.61 让 根 网 桥 和 活动 路 由 器 彼此 对 准 位 置 
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图 4.1.62 以 虚拟 IP 地 址 为 单位 对 活动 机 进行 切换 
最 近 几 年 ， 随 着 通信 流量 的 激增 ,活动 / 备用 元 余 结构 和 mn 十 1 结构 似 








有 卷 士 重 来 之 势 。 这 大 概 是 因为 很 多 人 认为 ， 既 然 备 用 机 大 部 分 时 间 都 
在 休 虐 ， 那 么 何不 让 它们 发 挥 作用 ， 去 分 散 一 部 分 通信 流量 呢 ? 那样 的 
话 处 理 效率 一 定 会 更 高 .……… 然 而 ， 我 们 必须 清楚 地 认识 到 ， 基 于 FHRP 
的 活动 机 /备用 机 元 余 结构 有 着 一 个 很 大 的 缺点 ， 那 就 是 运行 管理 非常 
有 碟 烦 。 如 果 你 的 确 有 与 之 相当 的 技术 水 平 ， 非 常 善于 管理 ， 又 相信 自己 
能 够 完美 地 驾驭 这 种 见 余 结构 ， 那 么 当然 没有 任何 问题 。 不 过 ， 如 果 一 
Re 
风 余 结 的 9 


4.1.3.2 ”利用 路 由 协议 确保 通 往 上 层 设备 的 路 径 





路 由 协议 不 仅 负责 学 习 路 径 信 息 ， 还 肩负 着 实现 宛 余 备份 的 重任 。 路 由 
器 和 L3 交换 机 将 路 径 信息 暂时 保存 在 非 路 由 表 的 表 中 ， 在 真正 的 路 由 
表 中 只 写 入 度量 值 最 小 的 那 条 最 佳 路 径 。 路 径 学 习 告 一 段落 之 后 ， 路 由 
协议 会 敦促 路 由 器 发 出 Hello 报 文 或 KEEPALIVE 消息 以 了 解 对 方 的 状 
态 ， 发 生 故 障 时 也 是 利用 这 些 数 据 包 去 检测 故障 ， 确 保 迁 回路 径 。 


通过 BGP 实现 通 往 ISP 的 路 径 元 余 


服务 器 端 是 通过 BGP 确保 通 往 ISP 的 路 径 宛 余 的 。BGP 在 学 习 完 路 径 
之 后 会 敦促 路 由 器 发 出 KEEPALIVE 消息 ， 以 此 来 定期 监控 彼此 的 状 
态 。 


ISP 对 于 KEEPALIVE 消息 的 发 送 间隔 和 Hold 时 间 都 会 提示 推荐 时 长 ， 
我 们 应 按照 这 些 提示 去 完成 设置 。 这 里 的 推荐 时 长 可 以 理解 为 通信 中 断 
时 间 。 另 外 ， 内 部 是 通过 FHRP 实现 活动 /备用 宛 余 结构 的 。 因 此 ， 我 
们 应 将 匈 余 结 构 下 直属 设备 (在 图 4.1.63 所 示 的 结构 中 为 防火 墙 ) 的 默 
认 网 关 设 置 为 FHRP 的 虚拟 IP 地 址 。 


如 果 在 Hold 时 间 内 未 能 收 到 KEEPALIVE 消息 ，BGP 就 会 断定 已 有 故 
障 发 生 ， 在 历经 多 段 路 程 之 后 另外 开通 出 一 条 通 往 ISP 的 路 径 并 确保 其 
畅通 无 阻 。 由 于 BGP 是 通过 KEEPALIVE 消息 判断 出 故障 的 ， 所 以 即 
使 途中 某 处 断 掉 也 能 够 马上 发 现 问题 。 另 外 ，ISP 的 路 径 即 使 被 切换 

掉 ，FHRP 也 不 会 执行 故障 转移 ， 毕 竟 切 换 的 只 是 上 层 路 由 信息 而 已 。 
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图 4.1.63 ”通过 发 送 KEEPALIVE 消息 监控 路 径 状态 
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图 4.1.64 通过 发 送 KEEPALIVE 消息 检测 出 故障 
LAN 内 的 路 径 通 过 IGP 实现 元 余 


LAN 内 的 路 径 是 通过 OSPF 或 EIGRP 等 IGP 来 实现 元 余 的 。 在 不 久之 
前 的 网 络 设计 中 ， 人 科 还 倾向 于 将 VLAN 尽量 做 小 并 且 大 量 地 分 布 让 
由 选择 点 。 在 这 个 前 提 下 ， 通 过 IGP 去 实现 路 径 宛 余 是 必需 的 手段 。 
OSPF 和 EIGRP 的 默认 设置 均 为 等 价 多 路 径 〈 上 度量 值 相 同 的 路 径 全 部 都 
要 用 上 ) ， 因 此 能 够 同时 实现 带宽 增强 和 路 径 元 余 。 
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图 4.1.65 ”通过 IGP 实现 路 径 宛 余 


4.1.4 ”从 传输 层 到 应 用 层 的 元 余 技术 


从 传输 层 到 应 用 层 的 见 余 技术 在 网 络 层 的 见 余 技术 FHRP 中 又 加 入 了 同 
步 技术 ， 从 而 实现 了 更 上 一 层 楼 的 效果 。 基 本 工作 机 制 并 没有 变化 ， 不 
过 对 于 不 同 的 信息 会 进行 不 同 的 同步 处 理 ， 下 面 我 们 就 来 详细 说 明 。 


4.1.4.1 防火墙 的 元 余 技术 


防火 载 的 元 余 技 术 是 在 FHRP 中 添加 了 几 项 同步 技术 ， 包 括 设置 信息 和 
连接 信息 的 同步 等 ， 进 而 在 更 高 的 层次 上 实现 了 元 余 备份 。 关 于 这 两 项 
同步 技术 ， 我 们 先 来 通过 它们 和 FHRP 的 比较 来 说 明 一 下 。 


同步 设置 信息 


FHRP 中 活动 路 由 器 和 备用 路 由 器 的 设置 信息 是 各 目 独 立 的 ， 并 没有 同 
步 。 因 此 ， 如 果 我 们 修改 了 活动 路 由 器 的 设置 ， 那 么 也 要 同样 修改 备用 
路 由 器 的 设置 ， 人 否则 惑 无 法 保持 二 者 的 一 致 性 。 与 此 相对 ， 防 火 墙 的 元 
余 技术 能 够 根据 活动 机 的 设置 自动 同步 备用 机 的 设置 ， 让 设备 的 运行 管 
理 更 加 方便 快捷 。 














Dt 修改 设置 


同 此 处 的 设置 信息 


, 即 获 得 同步 


防火 墙 ( 活动 状态 ) 防火 墙 { 待机 状态 ) 
图 4.1.66 ”同步 设置 信息 
同步 连接 信息 


虽然 FHRP 会 通过 发 送 Hello (Advertisement) 报 文 去 掌握 对 方 的 通信 

状态 ， 但 并 没有 对 连接 信息 进行 同步 处 理 。 说 起 来 ， 数 据 包 这 一 级 的 路 
径 变 更 和 连接 、 应 用 程序 的 运行 本 来 就 没有 太 大 的 关系 ， 所 以 人 们 一 般 
认为 没 必要 去 同步 连接 信息 。 但 是 防火 墙 就 不 一 样 了 ， 防 火 墙 是 基于 

TCP 连接 信息 来 建立 过 滤 规 则 的 。 从 这 个 角度 来 看 ， 不 同步 连接 信息 是 
说 不 过 去 的 ， 因 为 假如 连接 中 断 而 不 得 不 重建 ， 应 用 程序 就 会 无 法 接 

通 ， 这 可 称 得 上 是 重大 事故 了 。 为 了 避免 出 现 这 种 情况 ， 我 们 必须 在 防 
火 墙 中 同步 连接 信息 ， 给 备用 机 预先 建立 起 过 滤 规 则 ， 这 样 才能 尽量 减 
少 发 生 故 障 时 TCP 层面 的 宕 机 时 间 。 














图 4.1.67 同步 连接 信息 


用 于 同步 的 链 路 应 力 外 设计 


防火 载 的 元 余 技 术 要 求 我 们 必须 严格 遭 守 一 项 原则 ， 那 融 是 要 将 用 于 同 
步 的 链 路 和 用 于 同步 的 VLAN 分 别 设计 。 用 于 同步 的 数据 量 可 不 像 
Hello 报 文 或 Advertisement 报 文 那样 少 ， 并 且 由 于 是 实时 地 同步 信息 ， 
端口 的 LED 灯会 一 直 地 狐 烈 内 动 ， 简 直 让 人 怀疑 是 不 是 出 现 了 环 路 故 
隐 。 有 鉴于 此 ， 我 们 应 尽 可 能 地 避免 同步 与 正常 服务 的 通信 并 存 ， 应 将 
用 于 同步 的 链 路 和 VLAN 分 开 来 设计 。 


用 于 同步 的 链 路 是 防火 墙 元 余 技 术 中 最 根本 的 一 条 重要 链 路 ， 这 条 链 路 
如 果 中 断 的话 事 态 就 非常 严重 了 。 为 了 避免 出 现 这 样 的 局 面 ， 人 们 一 般 
会 用 链 路 聚合 将 链 路 捆绑 在 一 起 以 应 对 原 发 性 故障 。 有 些 设 备 还 可 以 设 
置 第 二 链 路 和 第 二 VLAN， 以 防 主 链 路 中 断 时 没有 备用 的 可 供 切 换 。 对 
于 这 样 的 设备 ， 请 务必 将 它们 的 Trust VLAN (CLAN 方面 的 VLAN) 定 
义 成 第 二 位 的 性 质 。 笔 者 见 过 误 将 Untrust VLAN 定义 成 第 二 位 性 质 的 
网 络 环境 ， 按 照 这 个 错误 设置 来 的 话 ， 当 主 链 路 中 断 时 管理 信息 就 会 全 
部 泄露 出 去 ， 是 万 万 不 可 的 。 请 记 住 ， 至 少 ， 第 二 链 路 一 定 要 定义 成 

TrustVLAN 中 的 链 路 才 行 。 
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L2 交换 机 L2 交换 机 
图 4.1.68 ”用 于 同步 的 链 路 应 另外 设计 
设置 虚拟 MAC 地 址 


有 些 设备 可 以 将 它们 真实 的 MACI/IP 地 址 直接 用 作 两 机 共享 的 虚拟 
MACI/IP 地 址 ， 思 科 公 司 的 ASA 系列 设备 就 是 一 例 。 在 这 个 系列 中 ， 最 
初 定义 的 主机 的 真实 MACVIP 地 址 即 默认 的 虚拟 MAC/IP 地 址 。 使 用 这 
种 设备 时 ， 主 机 一 旦 被 更 换 ， 虚 拟 MAC 地 址 就 会 改变 ， 最 终 导 臻 通信 
中 断 。F5 Networks 公司 的 BIG-IP 系列 设备 则 是 另 一 种 情况 。 在 这 个 系 
列 中 ， 两 机 并 没有 共享 的 虚拟 MAC 地 址 ， 而 是 将 活动 机 的 真实 MAC 
地 址 用 作 虚 拟 IP 地 址 的 MAC 地 址 。 使 用 这 种 设备 时 ， 一 旦 执行 故障 转 
移 ， 所 有 相 邻 设备 的 ARP 条 目 都 需要 通过 GARP 进行 切换 ， 所 以 周边 
设备 的 状态 变化 比较 大 。 
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图 4.1.69 有些 设备 可 将 活动 机 的 MAC 地 址 直接 用 作 虚 拟 MAC 地 址 
如 果 设 备 本 身 人 允许 指定 虚拟 MAC 地 址 ， 那 我 们 最 好 事先 就 设置 好 ， 这 
一 点 对 任何 设备 的 见 余 备份 来 说 都 是 一 样 的 。 因 为 这 样 的 话 ， 我 们 就 能 
将 相 邻 设备 的 状态 变化 控制 在 最 小 范围 之 内 。 

防火 墙 元 余 技 术 的 运作 流程 


请 记 住 ， 防 火 墙 见 余 技术 的 基本 运作 流程 和 FHRP 并 没有 太 大 的 不 同 ， 
只 是 在 FHRP 的 基本 运作 中 增加 了 同步 处 理 而 已 。 下 面 ， 我 们 就 来 看 一 
看 具体 的 步 又。 


。 正 常情 况 下 的 运作 流程 
首先 ， 我 们 来 看 看 正常 情况 下 的 运作 流程 。 


1 -，、 针对 发 送 给 默认 网 关 IP 地 址 ( 即 虚拟 IP 地 址 或 NAT 地 
址 ) 的 ARP 请 求 ， 活 动 防火 墙 会 返回 一 个 答复 。 答 复 的 MAC 地 





址 即 虚 拟 MAC 地 址 。 


2 ~ 在 客户 端的 ARP 条 目 中 写 入 虚拟 MAC 地 址 和 虚拟 IP 地 
址 。 


3 ”客户 关中 经 由 活动 防火 增 建 立 起 TCP 连接 ， 有 具体 来 说 是 经 
过 活动 防火 墙 执行 三 次 握手 处 理 之 后 建立 起 TCP 连接 。 
4 -， ”活动 防火 增 根据 TCP 连接 信息 建立 起 过 滤 规 则 ， 同 时 将 该 


连接 信息 同步 到 备用 防火 墙 中 。 于 是 备用 防火 墙 也 根据 该 连接 信息 
建立 起 过 小 规则 。 
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图 4.1.70 ”正常 情况 下 的 运作 和 FEHRP 基本 一 样 
。 发生 故 障 时 的 运作 流程 
接 下 来 ， 我 们 再 看 看 执行 故障 转移 时 的 运作 流程 。 





1 -， 活动 防火 墙 发 生 故 障 。 
2 、 备用 防火 墙 通过 同步 数据 包 检 测 到 该 故障 并 升级 为 新 的 活动 
防火 墙 ， 同 时 发 出 GARP 声明 。 


3 ”GARP 更 新 L2 交换 机 的 MAC 地 址 表 ， 并 将 通 往 虚拟 IP 地 
址 的 路 径 引 向 新 的 活动 防火 墙 。 此 时 客户 端的 ARP 条 目 并 不 更 
新 ， 虚 拟 IP 地 址 的 MAC 地 址 仍然 保持 虚拟 MAC 地 址 的 原样 不 


4 -经 由 新 的 活动 防火 增 建 并 连接 。 


5 一 由 于 新 的 活动 防火 墙 中 早已 拥有 同步 好 的 连接 信息 ， 所 以 可 
继续 保持 连接 状态 。 






防火 坊 {| 发 生 故障 ] 防火 墙 { 和 荷 机 状态 ~ 活动 关 闹 ] 


图 4.1.71 利用 同步 好 的 连接 信息 缩短 通信 中 断 时 间 
4.1.4.2 ”负载 均衡 器 的 见 余 技术 
负载 均衡 器 的 见 余 技术 是 在 防火 墙 见 余 技术 和 同步 技术 的 基础 上 进 一 





添加 了 应 用 程序 的 同步 拉 术 ， 能 够 在 更 高 的 层次 上 实现 见 余 备份 。 与 防 
火 墙 的 情况 相 比 ， 二 者 的 基本 设计 要 点 和 元 余 机 制 大 都 是 一 样 的 ， 只 是 


同步 的 范围 稍 有 差异 而 已 。 这 里 ， 我 们 仅 介绍 一 下 负载 均衡 器 了 见 余 技术 
中 重要 的 部 分 。 


同步 会 话 保持 信息 


负载 均衡 器 见 余 备份 的 关键 在 于 同步 会 话 保持 表 。 会 话 保持 是 确保 应 用 
程序 同步 不 可 或 缺 的 一 项 功能 。 执 行 故障 转移 的 时 候 ， 如 果 我 们 没有 同 
步 会 话 保持 表 ， 应 用 程序 就 会 被 分 配 到 另外 的 服务 器 中 ， 导 致 前 后 无 法 
呼应 。 因 此 我 们 必须 始终 同步 会 话 保持 的 信息 ， 使 其 能 够 持续 不 断 地 被 
分 配 到 同一 合 服务 器 中 ， 确 保 应 用 程序 的 前 后 呼应 和 一 致 性 。 
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图 4.1.72 ”同步 会 话 保持 信息 
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图 4.1.73 ”继承 会 话 保持 信息 


4.2 高 可 用 性 设计 


前 面 介绍 了 多 种 在 元 余 结 构 中 使 用 的 技术 和 这 些 技术 的 设计 要 点 。 从 这 
一 章节 开始 ， 本 书 将 从 实用 性 的 角度 来 讲解 如 何在 服务 器 端 组 合 应 用 这 
些 技术 ， 以 及 我 们 在 设计 和 以 构 网 站 时 必须 注意 哪些 事项 。 


4.2.1 ”高 可 用 性 设计 


高 可 用 性 设计 的 要 点 在 于 并 列 配置 。 具 体 来 说 ， 就 是 将 同一 种 类 型 的 设 
备 并 列 配置 ， 然 后 用 工 2 交换 机 将 它们 拼接 起 来 。 在 第 1 革 里 已经 讲 

过 ， 元 余 结构 只 有 串联 式 和 单 路 并 联 式 两 种 。 下 面 ， 如 分 别 说明 在 这 两 
i 


4.2.1.1 串联 式 结构 


首先 ， 我 们 来 看 看 串联 式 结构 。 在 串联 式 结构 中 ， 各 个 组 成 部 分 各 司 其 
职 ， 结 构 非 第 简单 。 结 构 中 的 路 径 一 目 了 然 ， 故 障 也 容易 排除 ， 因 此 深 
受 管理 人 员 的 青睐 。 在 介绍 物理 设计 的 章节 中 我 们 已 经 接触 过 几 种 结构 
实例 ， 下 面 将 基于 这 些 实例 来 进行 讲解 。 


串联 式 结构 之 类 型 1 


我 们 先 来 看 看 第 一 种 类 型 (如 图 4.2.1) ， 这 是 串联 式 结构 中 最 简单 、 

最 容易 理解 的 一 种 网 络 结构 。 人 们 就 是 在 这 种 结构 的 基础 上 对 各 种 元 余 
技术 进行 了 组 合 和 应 用 ， 这 样 说 就 比较 容易 理解 了 吧 。 下 面 我 们 就 从 

ISP 的 角度 出 有 发， 逐一 看 看 各 个 组 成 要 素 分 别 是 怎样 的 情况 。 
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图 4.2.1 在 串联 式 结构 类 型 1 中 使 用 的 元 余 技术 
。 CE 交换 机 


CE (Customer Edge， 客 户 边 缘 ) 交换 机 在 互联 网 上 和 LAN 上 分 别 
使 用 着 不 同 的 见 余 技术 。 在 互联 网 上 是 通过 BGP 实现 见 余 备份 

的 。 具 体 说 来 就 是 在 PE (Provider Edge， 运 营 商 边缘 ) 交换 机 和 
eBGP 对 等 体 之 间 ， 以 及 CE 交换 机 之 间 安 排 BGP 对 等 体 ， 生 成 迁 
回路 径 。 而 在 LAN 上 则 是 通过 FHRP 实现 活动 / 备用 宛 余 结构 

的 。 如 果 是 出 站 通信 ， 正 常情 况 下 只 有 活动 路 由 器 会 接收 数据 包 ， 
然后 根据 通过 BGP 学 习 到 的 路 径 转发 数据 包 ; 如 果 是 入 站 通信 ， 








则 在 ISP 中 操作 BGP 属性 ， 让 数据 包 只 会 被 传 给 活动 路 由 器 。 


事实 上 ， 由 于 ISP 大 多 会 提供 租赁 设备 供 我 们 使 用 ， 所 以 这 部 分 的 
设置 很 可 能 并 不 需要 我 们 杀 目 动手 。 不 过 ， 了 解 原理 和 机 制 对 工程 
师 来 说 是 非常 重要 的 ， 况 且 它 们 本 映 也 非常 有 趣 。 


防火 场 


防火 墙 同样 也 是 由 活动 机 和 备用 机 构成 的 。 我 们 应 该 妨 外 设计 用 于 
司 步 的 链 路 和 用 于 同步 的 VLAN， 然 后 交换 设置 信息 和 状态 信息 的 
i 
范围 之 内 。 


L2 交换 机 《设置 在 防火 场 和 负载 均衡 器 之 间 ) 


设置 在 此 处 的 L2 交换 机 乍 一 看 似乎 至 无 必要 ， 确 实 疝 常会 有 系统 
管理 人 员 过 来 询问 “根本 用 不 上 吧 ? ”然而 回答 是 否定 的 。 事 实 上 ， 
这 台 L2 交换 机 起 着 非常 重要 的 作用 ， 它 能 将 防火 墙 和 负载 均衡 占 
的 见 余 机 制 分 阳 开 。 如 果 没 有 这 台 L2 交换 机 ， 当 防火 墙 或 负载 均 
衡器 其 中 一 方 执 行 故障 转移 时 ， 男 一 方丈 会 受 其 影响 也 会 随 之 执行 
改 攻 转移。 为 了 站 免 个 必要 的 服务 中 断 ， 这 合 L2 交换 矶 绝对 古 必 


要 的 
负载 均衡 需 


我 们 可 以 认为 负载 均衡 器 的 设计 和 防火 墙 的 基本 上 是 一 样 的 ， 同 样 
也 是 由 活动 机 和 备用 机 构成 ， 也 是 要 男 外 单独 设计 用 于 同步 的 链 路 
和 用 于 同步 的 VLAN， 然 后 交换 设置 信息 和 状态 信息 的 同步 数据 
0 


L2 交换 机 (设置 在 负载 均衡 器 和 服务 器 之 间 ) 


几乎 没有 任何 一 种 结构 是 让 服务 占 直 接连 接 到 负载 均衡 占 上 去 的 。 
说 起 来 ， 负 和 载 均衡 器 本 里 束 并 不 具备 大 量 的 物理 端口 ， 所 以 必须 通 
过 L2 交换 机 去 连接 服务 器 。 考 虑 到 L2 交换 机 本 喘 可 能 会 发 生 故 
障 ， 所 以 应 该 连接 成 呈 四 方形 的 回路 。 

















。 服务 器 


服务 器 网 卡 是 通过 网 卡 组 合 实 现 元 余 备 份 的。 元 余 方 式 有 很 多 种 ， 
但 最 简单 易 行 、 也 是 最 受 人 们 欢迎 的 是 由 活动 /备用 机 构成 的 AFT 
方式 。 考 虑 到 交换 机 可 能 会 发 生 故 障 ， 我 们 必须 让 活动 机 和 备用 机 
各 日 连接 不 同 的 交换 机 才 行 。 采 用 AFT 方式 时 ， 通 信 流 量 容易 集 
中 到 活动 网 卡 上 ， 但 是 对 于 通信 流量 的 增加 ， 人 们 大 多 会 选择 增设 
负载 均衡 服务 需 这 种 横 辐 扩展 的 欢 法 来 应 对 。 横 癌 扩 展 同时 具有 元 
余 备 份 的 效果 ， 人 们 将 负载 均衡 服务 器 并 列 配置 并 实施 健康 检查 ， 
以 此 来 实现 服务 器 和 服务 本 身 的 元 余 备 份 。 


串联 式 结构 之 类 型 2 


我 们 再 来 看 第 二 种 类 型 。 这 种 类 型 是 在 第 一 种 结构 类 型 中 加 入 了 刀片 服 
务 器 、 虚 拟 化 、StackWise 技术 和 VSS、 数 据 安 全 区 域 划分 这 四 个 元 素 
(如 图 4.2.2) 。Untrust 区 域 和 类 型 1 是 一 样 的 。 这 里 我 们 只 选择 性 地 
介绍 类 型 2 和 类 型 1 不 一 样 的 地 方 。 
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图 4.2.2 在 串联 式 结构 类 型 2 中 使 用 的 元 余 技术 
※ 由 于 版 面 关系 ， 部 分 服务 器 在 图 中 省 略 未 画 。 


。L2 交换 机 (DMZ) 


DMZ 区 域 的 L2 交换 机 利用 StackWise 技术 使 得 见 余 备份 和 结构 简 
化 能 够 同时 实现 。 从 物理 角度 上 看 存在 两 侣 交换 机 ， 但 从 逻辑 角度 
上 看 则 只 有 一 台 。 不 过 ， 防 火 墙 和 负载 均衡 器 应 分 别 连接 不 同 的 物 
理 交 换 机 ， 以 应 对 某 台 物理 交换 机 发 生 故 障 的 情况 。 


交换 机 模块 


交换 机 模块 和 L2 交换 机 (DMZ) 一 样 ， 也 是 通过 StackWise 技术 
实现 见 余 备份 的 。 负 载 均衡 器 分 别 连 接 到 不 同 的 物理 交换 机 上 ， 以 
应 对 某 台 物 理 交 换 机 发 生 故 障 的 情况 。 至 于 L3 交换 机 的 连接 ， 则 
是 形成 链 路 聚合 之 后 分 别 从 不 同 的 物理 交换 机 获取 物理 链 路 。 交 换 
机 模块 是 按 用 途 (DMZ、Trust、 虚 拟 通 信 流 量 ) 划分 开 的 ， 它 们 
的 通信 流量 不 会 互相 影响 。 


刀 户 服务 妖 和 虚拟 化 处 理 


刀片 服务 器 按 用 途 对 应 交换 机 模块 ， 并 与 交换 机 模块 是 自动 进行 物 
理 连 线 的 ， 每 个 用 途 对 应 两 台 交 换 机 模块 ， 总 共有 六 台 交 换 机 模 

块 。 利 用 连接 好 的 网 卡 组 合 虚 拟 交 换 机 ， 虚 拟 交 换 机 组 合 的 负载 均 
衡 多 采用 基于 端口 ID 的 方式 或 明确 的 故障 转移 方式 ， 故 障 检 测 则 
多 采用 链 路 状态 检测 方式 。 虚 拟 化 处 理 能 够 简单 快速 地 添加 服务 

器 ， 这 使 得 服务 器 容易 在 不 知 不 党 中 越 来 越 多 ， 所 以 我 们 必须 巧妙 
地 将 负载 均衡 分 配 出 去 。 男 外 ， 我 们 还 得 注意 虚拟 机 的 配置 问题 ， 
如 果 将 相同 作用 的 虚拟 机 都 分 配给 同一 台 物 理 机 ， 那 么 该 物理 机 一 
且 宕 机 ， 服 务 就 会 中 断 。 因 此 ， 相 同 作用 的 虚拟 机 务必 分 配给 不 同 
的 物理 机 才 行 。 


L3 交换 机 (Trust 区 域 ) 


Trust 区 域 是 通过 VSS 形成 的 。VSS 和 StackWise 技术 一 样 ， 从 物 
理 角 度 上 看 存在 两 台 交 换 机 ， 但 从 逻辑 角度 上 看 则 只 有 一 台 。 两 道 
防火 墙 应 分 别 和 不 同 的 物理 交换 机 连接 ， 利 用 链 路 聚合 使 交换 机 模 
块 的 连接 能 够 同时 实现 链 路 见 余 和 带 客 扩展 。 分 别 连接 不 同 的 物理 
交换 机 ， 是 为 了 让 通信 在 某 人 台 交 换 机 发 生 故 障 时 不 至 于 中 断 。 


4.2.1.2 单 路 并 联 式 结构 




















接 下 来 ， 我 们 再 看 看 单 路 并 联 式 结构 。 在 这 种 结构 中 ， 核 心 L3 交换 机 
扮演 着 多 重 角 色 ， 整 体 结构 比 串联 式 结构 要 复杂 。 不 过 ， 这 种 结构 兼 具 
远 辑 结构 的 灵活 性 和 可 扩展 性 ， 非 常 适合 规模 较 大 的 环境 。 单 路 并 联 式 
结构 分 为 物理 结构 和 化 辑 结构 两 种 ， 我 们 整理 好 这 两 种 分 类 之 后 再 去 学 
习 会 比较 容易 理解 一 些 。 


单 路 并 联 式 结构 之 类 型 1 


先 来 看 第 一 种 类 型 (如 图 4.2.3) ， 这 是 单 路 并 联 式 结构 中 比较 容易 理 
解 的 一 种 网 络 结构 。 人 们 就 是 在 这 种 结构 的 基础 上 对 各 种 元 余 技 术 进 行 
了 组 合 和 应 用 ， 这 样 说 就 比较 容易 理解 了 吧 。 下 面 ， 我 们 就 从 ISP 的 角 
度 出 及， 逐一 看 看 各 个 组 成 要 素 分 别 是 怎样 的 情况 。 
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图 4.2.3 在 单 路 并 联 式 结构 类 型 1 中 使 用 的 匈 余 技术 
。 核心 L3 交换 机 
可 以 说 ， 核 心 交 换 机 决定 了 单 路 并 联 式 结构 的 一 切 。ISP 的 PE 路 


由 需 之 间 的 BGP 对 等 体 也 要 通过 核心 交换 机 去 安排 ，LAN 内 的 
VLAN 通过 FHRP 形成 活动 /备用 结构 。 在 串联 式 结构 中 ， 为 了 减 





少 故障 转移 的 影响 我 们 非得 配置 L2 交换 机 不 可 ， 然 而 在 单 路 并 联 
式 结构 中 残 不 需要 L2 交换 机 了 ， 因 为 核心 交换 机 完全 可 以 起 到 相 
同 的 作用 。 由 于 里 兼 数 职 ， 核 心 交 换 机 友 生 故障 时 的 影响 还 是 比较 
的 不 过 它 能 够 统一 管理 复杂 的 端口 分 配 工作 ， 这 是 个 很 大 的 优 








防火 场 


防火 墙 由 活动 机 和 备用 机 构成 ， 通 过 链 路 聚合 连接 核心 L3 交换 
机 ， 能 够 同时 实现 见 余 备份 和 带宽 扩展 。 男 外 ， 防 火 墙 是 通过 主干 
链 路 去 连接 多 个 VLAN (包括 Untrust 区 域 、Trust 区 域 、 用 于 同步 
的 VLAN 等 ) 的 。 


用 于 同步 的 通信 流量 在 通过 链 路 聚合 形成 的 逻辑 链 路 中 通行 。 由 于 

通常 服务 和 同步 处 理 的 通信 流量 同时 并 存 ， 所 以 为 了 安全 起 见 ， 有 

些 情况 下 我 们 可 以 用 QoS 去 控制 优先 顺序 ， 或 者 干脆 男 外 开设 一 

ea 的 链 路 ， 以 尽量 减少 同步 处 理 给 通常 服务 造成 的 不 
影 啊 。 


负载 均衡 需 


我 们 可 以 认为 负载 均衡 器 的 设计 和 防火 墙 基本 上 是 一 样 的 ， 同 样 也 
是 由 活动 机 和 备用 机 构成 ， 也 是 通过 链 路 聚合 连接 核心 L3 交换 机 
连接 ， 以 便 同 时 实现 见 余 备份 和 带宽 扩展 。 


用 于 同步 的 通信 流量 也 是 一 样 。 用 于 同步 的 通信 流量 在 通过 链 路 聚 
合 形成 的 逻辑 链 路 中 通行 。 由 于 通常 服务 和 同步 处 理 的 通信 流量 同 
时 并 存 ， 所 以 为 了 安全 起 见 ， 有 些 情况 下 我 们 可 以 用 QoS 去 控制 
优先 顺序 ， 或 者 干脆 另外 开设 一 条 该 VLAN 专用 的 链 路 ， 以 尽量 
减少 同步 处 理 给 服务 造成 的 不 民 影 响 。 


服务 器 


在 串联 式 结构 中 有 专门 连接 服务 器 的 交换 机 ， 而 在 单 路 并 联 式 结构 
中 起 着 同样 作用 的 则 是 核心 灾 换 机 。 毋 庸 多 言 ， 每 台 服 务 器 都 必须 
分 别 连接 不 同 的 核心 交换 机 ， 以 应 对 某 全 核心 交换 机 发 生 故 障 的 情 
况 。 











单 路 并 联 式 结 构 之 类 型 2 


我 们 再 来 看 第 二 种 类 型 。 这 种 类 型 是 在 第 一 种 单 路 并 联 式 结构 类 型 中 加 
入 了 刀片 服务 器 、 虚 拟 化 、StackWise 技术 和 和 VSS、 数据 安全 区 域 划分 
这 四 个 要 素 〈 如 图 4.2.4) 。 这 里 我 们 只 选择 性 地 介绍 类 型 2 和 类 型 1 


不 一 








样 的 地 方 。 
核心 交换 机 


核心 交换 机 利用 VSS 实现 元 余 备 份 。 从 物理 的 角度 上 看 有 两 全 区 
换 机 ， 但 从 逻辑 的 角度 上 看 只 有 一 合 ， 管 理 因 此 得 以 简化 。 就 作用 
而 言 它 和 类 型 1 并 无 太 大 差别 ， 结 构 类 型 和 类 型 1 一 样 ， 也 是 核心 
交换 机 扮演 多 重 角色 ， 几 乎 决定 了 这 种 结构 的 一 切 。 


交换 机 模块 


交换 机 模块 通过 StackWise 技术 实现 元 余 备 份 。 至 于 核心 交换 机 的 
连接 ， 则 是 形成 链 路 聚合 之 后 分 别 从 不 同 的 物理 交换 机 获取 物理 链 
路 。 交 换 机 模块 是 按 用 途 (DMZ、Trust、 虚 拟 通 信 流 量 ) 划分 开 
的 ， 它 们 的 通信 流量 不 会 互相 影响 。 


刀 户 服务 妖 和 虚拟 化 处 理 


刀片 服务 器 按 用 途 对 应 交换 机 模块 ， 并 与 交换 机 模块 是 自动 进行 物 
理 连 线 的 ， 每 个 用 途 对 应 两 台 交 换 机 模块 ， 总 共有 六 台 交 换 机 模 
块 。 利 用 连接 好 的 网 卡 将 虚拟 交换 机 组 合 起 来 ， 虚 拟 交 换 机 组 合 的 
负载 均衡 多 采用 基于 端口 ID 的 方式 或 明确 的 故障 转移 方式 ， 故 障 
检测 则 多 采用 链 路 状态 检测 方式 。 虚 拟 化 处 理 能 够 简单 快速 地 添加 
服务 器 ， 这 使 得 服务 器 容易 在 不 知 不 觉 中 越 来 越 多 ， 所 以 我 们 必须 
巧妙 地 将 负载 均衡 分 配 出 去 。 
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图 4.2.4 在 单 路 并 联 式 结构 类 型 2 中 使 用 的 元 余 技术 








4.2.2” 理 清 通信 流 


笔者 不 止 一 次 地 被 系统 管理 人 员 问 到 过 “说 了 那么 多 ， 通 信人 到 底 会 通过 
哪里 ? 又 是 怎样 流动 的 呢 ? ”这 个 问题 将 在 下 文中 给 出 回答 。 不 过 这 里 

介绍 的 通信 流 只 是 部 分 示例 ， 实 际 情况 不 同 ， 物 理 纤 吉 构 和 让 辑 吉 构 也 会 
有 所 差异 。 大 家 应 做 好 充分 的 故障 测试 ， 便 于 自己 理解 通信 流 的 知识 。 


服务 器 端的 通信 流 分 为 串联 式 结构 和 单 路 并 联 式 结构 两 种 ， 二 者 之 间 的 


区 别 很 大 ， 分 开 说 明 会 比较 容易 理解 一 些 。 下 面 ， 本 书 将 均 以 前 面 提 到 
的 结构 类 型 1 为 例 来 一 一 说 明 。 


4.2.2.1 串联 式 结构 


冲 联 式 结构 比较 容易 预 调 到 发 生 故 障 的 路 径 ， 故 障 排除 也 比较 简单 。 活 
动 路 径 的 共处 一 旦 断 开 惑 会 立刻 切换 到 备用 路 径 ， 工 作 原 理 十 分 简单 易 
懂 。 那 么 ， 下 面 我 们 就 从 ISP 的 角度 出 发 ， 逐 一 看 看 当 活动 路 径 友 生 故 
障 时 ， 该 结构 中 的 各 个 组 成 要 素 是 如 何 处 理 的 。 


。 正 季 情况 下 的 路 径 
我 们 移 来 看 正 间 情况 下 的 通信 路 径 。 在 正常 情况 下 通信 流量 一 定 是 
集中 在 活动 机 上 的 ， 这 一 点 前 面 已 经 讲 过 了 。 这 时 候 通 信 会 流 经 下 
图 中 左 侧 的 设备 。 
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图 4.2.5 正常 情况 下 通信 只 会 流 经 活动 机 
线路 故障 


当 ISP 线路 发 生 故 障 时 ，eBGP 对 等 体会 因为 收 不 到 KEEPALIVE 
消息 而 中 断 ， 于 是 ISP 网 和 CE 交换 机 重新 进行 BGP 计算 ， 切换 通 
往 分 配 IP 地 址 的 路 径 。 等 计算 告 一 段落 之 后 ， 通 往 ISP《〈 通 往 互 联 
网 ) 的 路 径 就 会 切换 成 经 过 配置 在 同一 列 的 CE 交换 机 《下 图 中 的 
CE 交换 机 人 @) 的 路 径 。 
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图 4.2.6 ”线路 发 生 故 障 时 会 通过 BGP 切换 路 径 
CE 交换 机 故障 


当 CE 交换 机 发 生 故 障 时 ，eBGP 对 等 体会 因为 PE 路 由 器 收 不 到 
KEEPALIVE 消息 而 中 断 ， 于 是 ISP 网 和 CE 交换 机 重新 进行 BGP 
计算 ， 切 换 通 往 分 配 IP 地 址 的 路 径 。 此 外 ， 由 于 备用 CE 交换 机 内 
部 收 不 到 Hello 报 文 ，FHRP 会 执行 故障 转移 。 


在 这 种 结构 中 ， 防 火 墙 同样 也 会 执行 故障 转移 。 防 火 墙 一 直 监 控 自 
身 的 链 路 状态 ， 并 将 其 作为 故障 转移 的 触发 器 。CE 交换 机 发 生 故 
区 域 的 链 路 也 会 断 掉 ， 因 此 防火 墙 也 会 随 之 执行 故 
障 转移 。 
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图 4.2.7 CE 交换 机 发 生 故 障 时 ，CE 交换 机 和 防火 墙 都 会 执行 故 
隐 转 移 


。 CE 交换 机 内 部 链 路 (防火 墙 的 Untrust 区 域 链 路 ) 故障 


在 这 种 结构 中 ， 当 CE 交换 机 内 部 链 路 发 生 故 障 时 ， 防 火 墙 的 
Untrust 区 域 链 路 也 会 随 之 中 断 。 防 火 增 检 测 到 链 路 中 断后 立即 执 
行 故障 转移 ， 而 在 CE 交换 机 内 部 运作 的 FHRP 则 维持 原状 ， 并 不 
执行 故障 转移 。 
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图 4.2.8 ”CE 交换 机 内 部 链 路 发 生 故 障 时 ， 只 有 防火 墙 会 执行 故 
障 转移 


。 防火 墙 故障 


当 防 火 增发 生 故 障 时 ， 防 火 墙 会 检测 到 上 自 映 的 故障 并 立即 执行 故障 
转移 。 在 这 种 结构 中 ，CE 交换 机 的 内 部 链 路 也 会 因 改 障 而 中 断 ， 


但 FHRP 的 Hello 报 文 依然 能 在 CE 交换 机 之 间 的 逻辑 链 路 上 正常 
交换 ， 因 此 FHRP 并 不 需要 执行 故障 转移 。 


通 往 分 配 |P 的 器 径 
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图 4.2.9 ”防火墙 发 生 故 障 时 ， 只 有 防火 墙 会 执行 故障 转移 

。 防火 墙 的 Trust 区 域 链 路 故障 
当 防 火 墙 的 Trust 区 域 链 路 友 生 故障 时 ， 防 火 墙 会 检测 到 该 故障 并 
立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转移 。 与 


此 同时 ，L2 交换 机 会 生成 一 条 寺 回 路 径 ， 以 避免 防火 增 的 故障 转 
移 给 负载 均衡 器 造成 不 恨 影响 。 
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图 4.2.10 防火墙 的 Trust 区 域 链 路 发 生 故 障 时 ， 只 有 防火 墙 会 执 
行 故 障 转移 

。L2 交换 机 故障 (位 于 防火 墙 和 负载 均衡 器 之 间 ) 
当世 2 交换 机 发 生 故 障 时 ， 防 火 墙 和 负载 均衡 器 都 会 执行 故障 转 
人 
障 转移 。 


负载 均衡 器 也 会 执行 故障 转移 。 负 载 均 衡器 和 防火 增 一 样 ， 一 直 在 
监控 目 身 的 链 路 状态 ， 并 将 其 作为 故障 转移 的 触 友 器 。L2 交换 机 


发 生 故 障 时 ， 负 和 载 均衡 器 的 外 部 链 路 也 会 断 挥 ， 因 此 负载 均衡 器 也 
会 随 之 执行 故障 转移 。 
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图 4.2.11 L2 交换 机 友 生 故障 时 ， 防 火 墙 和 负载 均衡 器 部 会 执行 
故障 转移 


。 负载 均衡 器 的 外 部 链 路 故障 


当 负 载 均衡 右 的 外 部 链 路 发 生 故 障 时 ， 备 用 负载 均衡 硕 会 检测 到 该 
故障 并 立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转 
移 。 与 此 同时 ，L2 交换 机 会 生成 一 条 迁 回路 径 ， 以 避免 负载 均衡 
右 的 故障 转移 给 防火 墙 造 成 不 民 影 响 。 
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图 4.2.12 ”负载 均衡 器 的 外 部 链 路 发 生 故障 时 ， 只 有 负载 均衡 器 
会 执行 故障 转移 


。 负载 均衡 器 故障 


发 生 这 种 故障 时 ， 对 应 机 制 和 人 负载 均衡 器 的 外 部 链 路 发 生 故 障 时 的 
机 制 基 本 上 是 一 样 的 。 当 负载 均衡 器 友 生 故障 时 ， 备 用 负载 均衡 右 
会 检测 到 该 故障 并 立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 
执行 故障 转移 。 与 此 同时 ，L2 交换 机 会 生成 一 条 迁 回 路 径 ， 以 避 
免 负载 均衡 器 的 故障 转移 给 防火 墙 或 服务 需 造 成 不 慨 影响 。 
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负载 均衡 硕 发 生 故 障 时 ， 只 有 负载 均衡 璐 会 执行 故障 
B24 


。 负载 均衡 器 的 内 部 链 路 故障 


发 生 这 种 故障 时 ， 对 应 机 制 也 和 负载 均衡 器 的 外 部 链 路 肥 生 故障 时 
的 机 制 基本 上 是 一 样 的 。 当 负载 均衡 器 的 内 部 链 路 发 生 故 障 时 ， 备 
用 负载 均衡 器 会 检测 到 该 故障 并 立即 执行 故障 转移 ， 其 他 部 分 则 维 
持原 状 ， 不 会 执行 故 隐 转移 。 与 此 同时 ，L2 交换 机 会 生成 一 条 迁 
回路 笃 ， 以 避免 负载 均衡 器 的 故障 转移 给 防火 墙 或 服务 器 造成 不 民 


影响 。 
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图 4.2.14 ”负载 均衡 器 的 内 部 链 路 发 生 故 障 时 ， 只 有 人 负载 均衡 器 
会 执行 故障 转移 


内 部 的 L2 交换 机 故障 〈 位 于 负载 均衡 器 和 服务 器 之 间 ) 


当 内 部 的 L2 交换 机 友 生 故障 时 ， 不 仅 负 载 均衡 器 的 内 部 链 路 会 中 

断 ， 连 服务 器 的 链 路 也 会 中 断 ， 因 此 负载 均衡 器 和 网 卡 组 合 都 会 执 
行 故障 转移 。 与 此 同时 ，L2 交换 机 会 生成 一 条 迁 回路 径 ， 以 避免 

负载 均衡 器 的 故障 转移 给 防火 墙 带 来 不 民 影响 。 
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图 4.2.15 ”内 部 的 工 2 交换 机 发 生 故 障 时 ， 负 载 均 衡 右 和 网 卡 组 合 
都 会 执行 故障 转移 


。 服务 器 的 链 路 故障 和 网 卡 故 障 


当 服 务 器 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 执行 故障 转 
移 。 与 此 同时 ，L2 交换 机 会 生成 一 条 迁 回路 径 ， 以 避免 网 卡 组 合 
的 故障 转移 给 负载 均衡 器 造成 不 民 影 响 。 
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图 4.2.16 ”服务 需 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 执 
行 故障 转移 


。 服务 器 的 服务 故障 
当 服 务 器 的 服务 发 生 故 障 时 ， 负 载 均衡 器 的 健康 检查 会 失败 ， 于 是 





该 服务 器 被 排除 到 负载 均衡 服务 器 范围 之 外 ， 这 样 连接 就 不 会 被 分 
配 到 己 发 生 服 务 故障 的 服务 器 上 。 其 他 部 分 没有 任何 变化 。 
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图 4.2.17 服务 占 的 服务 及 生 故 障 时 ， 该 服务 器 会 被 排除 到 负载 
均衡 服务 器 范围 之 外 


。 非 活动 路 径 的 故障 
如 果 是 非 活动 路 径 用 生 故 障 ， 那 么 无 论 故障 发 生 在 什么 环节 都 不 会 


执行 故障 转移 ， 也 不 存在 通信 中 断 时 间 。 不 过 从 笔者 的 经 验 来 说 ， 
偶尔 也 会 有 这 样 的 情况 : 因 茶 些 网 络 设备 本 身 的 设计 漏洞 等 原因 寻 





致 其 发 送 了 不 必要 的 GARP， 结 果 离 奇 宕 机 。 为 了 避免 类 似 情 况 的 
人 
影响 。 


4.2.2.2 单 路 并 联 式 结构 


在 单 路 并 联 式 结构 中 ， 核 心 L3 交换 机 扮演 着 多 重 角色 ， 通 信 流 似 
乎 也 比 串联 式 结构 要 复杂 得 多 。 不 过 实际 上 它们 的 逻辑 原理 是 一 样 
的 ， 所 以 用 不 着 有 太 多 的 思想 负担 。 活 动 路 径 的 共处 一 旦 发 生 故 

障 ， 就 应 切换 成 备用 路 径 一 一 我 们 应 该 本 着 这 个 原则 ， 从 ISP 的 角 
度 出 发 逐一 排除 故障 。 


。 正 季 情 况 下 的 路 径 


我 们 先 来 看 正常 情况 下 的 通信 路 径 。 在 正常 情况 下 ， 通 信 流 量 
一 定 是 集中 在 活动 机 上 的 ， 这 一 点 前 面 已 经 讲 过 了 。 这 时 候 通 
信 会 流 经 下 图 中 左 侧 的 设备 。 和 串联 式 结构 不 同 的 是 ， 单 路 并 
联 式 结构 的 通信 会 多 次 经 过 核心 交换 机 ， 这 是 因为 所 有 交换 机 
(包括 CE 交换 机 和 工 2 交换 机 等 ) 的 任务 都 要 由 核心 交换机 
去 完成 的 缘故 。 至 于 逻辑 路 径 ， 单 路 并 联 式 结构 和 串联 式 结构 
都 是 一 样 的 ， 二 者 只 是 物理 路 径 不 同 而 已 。 























图 4.2.18 ”正常 情况 下 ， 通 信和 只 会 流 经 活动 机 


。 线路 故障 


当 ISP 线路 发 生 故 障 时 ，eBGP 对 等 体会 因为 收 不 到 
KEEPALIVE 消息 而 中 断 ， 于 是 ISP 网 和 核心 交换 机 重新 进行 
BGP 计算 ， 切 换 通 往 分 配 IP 地 址 的 路 径 。 等 计算 告 一 段落 之 
后 ， 通 往 ISP〈 通 往 互 联网 ) 的 路 径 就 会 切换 成 经 过 配置 在 同 
一 列 的 核心 交换 机 《下 图 中 的 核心 交换 机 @) 的 路 径 。 

通 往 分 配 认 的 经 被 订 搞 (1S 网】 
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图 4.2.19 ”线路 发 生 故 障 时 会 通过 BGP 切换 路 径 
防火 墙 故障 


当 防 火 增发 生 故 障 时 ， 只 有 防火 增 会 立即 执行 故障 转移 ， 其 他 
部 分 则 维持 原状 ， 不 会 执行 故障 转移 。 前 面 已 经 所 到 过 ， 在 串 
联 式 结构 中 会 由 工 2 交换 机 生成 一 条 迁 回路 径 ， 在 单 路 并 联 式 
结构 中 这 一 角色 则 由 核心 交换 机 来 担任 ， 因 此 通信 会 多 次 经 过 
核心 交换 机 ， 然 后 才 最 终 抵 达 服 务 器 。 


. 
ed 





图 4.2.20 防火墙 友 生 故障 时 ， 只 有 防火 增 会 执行 故障 转移 
负载 均衡 大 故障 


当 负 和 载 均衡 器 及 生 故 障 时 ， 备 用 负载 均衡 器 会 检测 到 该 故障 并 
立即 执行 故障 转移 ， 其 他 部 分 则 维持 原状 ， 不 会 执行 故障 转 
移 。 这 时 候 通 信 会 依次 经 过 核心 交换 机 WD、 防 火 墙 凡 、 核 心 交 
换 机 G、 核 心 交 换 机 @ 凶 ， 新 升级 的 活动 负载 均衡 露 包 、 核 心 交 
换 机 @ 和 核心 交换 机 GD， 像 这 样 多 次 经 过 核心 交换 机 之 后 ， 才 
最 终 抵达 服务 器 。 
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图 4.2.21 负载 均衡 器 发 生 故 隐 时 ， 只 有 负载 均衡 器 会 执行 故 
隐 转 移 


核心 交换 机 故障 


在 单 路 并 联 式 结构 中 ， 核 心 交 换 机 故障 的 影响 范围 是 非常 之 大 
的 ， 0 下 面 我 们 就 来 
逐一 了 解 一 


首先 ， 我 们 来 看 核心 交换 机 。 在 外 部 ， 由 于 eBGP 对 等 体 中 
断 ， 核 心 交换 机 会 进行 包括 ISP 网 在 内 的 路 径 重 新 计算 ; 在 内 
2 由 于 备用 机 收 不 到 FHRP 报 文 ， 核 心 交 换 机 会 执行 故障 转 
Yo 


接 下 来 ， 我 们 再 看 防火 墙 和 负载 均衡 器 。 原 本 是 活动 防火 墙 的 
防火 墙 O@ 受 到 和 孤立， 防火 墙 @ 则 升级 为 新 的 活动 防火 墙 。 负 载 
均衡 器 方面 也 会 发 生 同 样 的 改变 ， 原 本 是 活动 负载 均衡 器 的 负 
均衡 器 中 受到 珊 立 ， 负 均 和 器 加 则 天 级 为 新 的 活动 负载 
衡器 。 


最 后 ， 我 们 来 看 服务 器 网 卡 。 服 务 器 链 路 因 核心 交换 机 的 故障 
而 中 断 ， 网 卡 组 合 检测 到 该 情况 之 后 便 会 执行 故障 转移 。 
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图 4.2.22 ”负载 均衡 器 发 生 故 障 时 ， 所 有 环节 都 会 执行 故障 转 
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移 
服务 器 的 链 路 故障 和 网 卡 故障 


当 服 务 器 的 链 路 或 网 卡 发生 故 隐 时 ， 只 有 网 卡 组 合 会 执行 故障 
转移 。 这 时 候 ， 通 信 会 依次 经 过 核心 交换 机 GD、 防火 墙 几 、 核 
心 交 换 机 GD、 负 载 均 衡器 由、 核心 交换 机 和 核心 交换 机 人 @)， 
像 这 样 多 次 经 过 核心 交换 机 之 后 ， 才 最 终 抵达 服务 需 。 
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图 4.2.23 ”服务 需 的 链 路 或 网 卡 发 生 故 障 时 ， 只 有 网 卡 组 合 会 
执行 故障 转移 


服务 器 的 服务 故障 


这 里 和 单 路 并 联 式 结构 一 样 ， 当 服务 器 的 服务 发 生 故 障 时 ， 负 
载 均衡 器 的 健康 检查 会 失败 ， 于 是 该 服务 需 被 排除 到 负载 均衡 
的 对 象 之 外 ， 这 样 连接 就 不 会 被 分 配 到 已 发 生 服 务 故障 的 服务 
器 上 。 其 他 部 分 没有 任何 变化 。 








图 4.2.24 ”服务 器 的 服务 发 生 故 障 时 ， 该 服务 器 会 被 排除 到 人 负 
载 均 衡 的 对 象 之 外 


非 服务 圳 链 路 的 链 路 故障 


服务 器 链 路 是 由 一 条 条 链 路 构成 的 ， 所 以 发 生 故 障 时 必须 通过 
网 卡 组 合 去 执行 故障 转移 。 与 此 相对 ， 其 他 链 路 (如 核心 交换 
机 、 防 火 墙 、 负 载 均衡 器 这 些 连 接 网 络 设备 的 链 路 ) 发 生 故 障 
时 ， 由 于 它们 都 通过 链 路 聚合 做 了 元 余 备 份 ， 所 以 无 论 哪个 环 
节 发 生 了 故障 都 不 会 执行 故障 转移 ， 路 径 也 不 会 被 切换 。 
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J 非 服 务 器 的 链 路 由 于 做 了 链 路 聚合 处 理 ， 路 径 不 会 
改变 


非 活 动 路 径 的 故障 


如 果 是 非 活动 路 径 发 生 故 障 ， 那 么 故障 无 论 是 发 生 在 什么 环节 
的 都 不 会 执行 故障 转移 ， 也 不 存在 通信 中 断 时 间 。 不 过 从 笔者 
的 经 验 来 说 ， 偶 尔 也 会 有 这 样 的 情况 : 因 某 些 网 络 设备 本 里 的 
设计 漏洞 等 原因 导致 其 发 出 了 不 必要 的 GARP， 结 采 离 奇 容 
机 。 为 了 避免 类 似 情况 的 有 发生， 我 们 应 提前 做 好 充分 的 故障 测 
试 ， 确 保 各 个 设备 都 不 会 受到 不 民 影 响 。 





本 章 概 要 


本 章 将 要 讲解 在 服务 器 端 运行 管理 中 使 用 的 技术 及 其 设计 要 
点 ， 以 及 对 于 运行 管理 ， 我 们 应 该 提前 规定 好 的 一 些 事 项 。 


关键 任务 的 服务 器 端 经 常会 发 生 形 形 色色 的 问题 。 设 计 和 如 构 
结束 之 后 ， 服 务 器 端 才 算 是 真正 开始 执行 它 的 使 命 。 在 长 期 使 
用 的 过 程 中 ， 设 备 可 能 会 发 生 故 隐 ， 线 缆 也 可 能 会 断 掉 。 对 于 
这 些 不 同 种 类 的 问题 ， 我 们 不 仅 要 注重 发 现 和 预防 ， 还 要 能 够 
在 突 友 情况 下 迅速 采取 对 策 。 为 此 ， 我 们 必须 熟练 掌握 相关 技 
术 和 设备 规格 ， 设 计 出 最 符合 实际 情况 的 运行 管理 环境 。 











5.1 管理 技术 


管理 技术 能 够 让 网 络 更 加 顺畅 地 运行 ， 同 时 提供 相应 的 规则 帮助 我 
们 管理 好 网 络 。 网 络 设计 和 架构 结束 之 后 ， 一 切 才 刚刚 开始 ， 对 于 
将 来 可 能 发 生 的 问题 ， 我 们 只 有 运用 多 种 管理 技术 才能 快速 高 效 地 
把 它们 解决 掉 。 下 面 ， 本 书 将 从 大 量 的 管理 技术 中 选 出 比较 第 用 的 
协议 ， 以 及 设计 时 必须 注意 的 事项 来 逐一 讲解 。 











5.1.1 用 NTP 同步 时 间 


NTP (Network Time Protocol， 网 络 时 间 协 议 ) 是 一 种 用 于 同步 设 
备 时 间 的 协议 。 乍 一 听 可 能 有 人 会 想 " 什 么 ? 同步 设备 时 间 没 什么 
意义 吧 ? ”曾几何时 ， 笔 者 也 是 这 么 认为 的 。 但 后 来 ， 当 笔者 面 对 
突 发 问题 冷汗 涟 涟 的 时 候 ， 才 终于 理解 了 这 个 协议 是 多 人 么 重要 。 


对 于 牵涉 到 多 合 设备 的 复杂 问题 ， 解 决 的 关键 在 于 我 们 对 该 问题 的 
理解 程度 。 具 体 来 说 ， 就 是 能 够 理解 该 问题 随 厦 时 间 的 变化 是 如 何 
演变 的 ， 即 在 不 同 的 时 刻 《〈《 几 点 几 分 几 秒 ) 都 发 生 了 什么 。 为 了 理 
清 这 些 头 绪 ， 我 们 需要 正确 掌握 时 间 这 一 要 素 。 


NTP 的 工作 原理 非常 简单 
NTP 的 工作 原理 非常 简单 。 形 象 一 点 讲 ， 就 是 先 由 客户 端 发 出 一 


个 “现在 几 点 了 ? ”的 询问 (NTP Query) ， 然 后 服务 器 针对 该 询问 
给 出 答复 (NTP Reply) “现在 是 oo 点 oo 分 oo 秒 哦 ”。 
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图 5.1.1 NTP 的 工作 原理 非常 简单 


NTP 利用 一 个 叫 作 “ 层 ”(Stratum) 的 概念 及 其 数值 形成 阶梯 式 结 
构 。 层 值 表 示 从 顶层 的 时 间 源 到 本 层 有 多 少 NTP 跳 。 顶 层 的 时 间 
源 是 从 原子 钟 或 GPS 时 钟 等 获取 高 精度 的 时 间 人 信息， 能 够 保证 时 
间 的 正确 性 ， 层 值 为 0。 从 顶层 往 下 ， 每 经 过 一 台 NTP 服务 器 ， 层 
值 就 会 加 一 。 层 值 不 为 0 的 NTP 服务 器 对 与 上 一 层 的 NTP 服务 器 
来 说 是 NTP 客户 端 ， 对 下 一 层 的 NTP 客户 端 来 说 则 是 NTP 服务 
器 。 此 外 ， 如 果 无 法 和 上 一 层 的 NTP 服务 器 同步 时 间 ， 就 绝 不 会 
将 时 间 发 布 给 下 一 层 。 








时 间 源 > 通过 不 子 钙 或 GPS 时 
晨 信 0 外 等 获取 高 辆 度 的 时 间 信 息 
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Ns, 如 果 无 法 和 上 一 居间 
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图 5.1.2 NTP 是 通过 “ 层 ” 形 成 的 阶梯 式 结构 
使 用 UDP 单 播 


NTP 在 任何 遂 信 类 型 中 都 能 够 运作 ， 包 括 单 播 、 多 播 和 广播 ， 不 过 
用 于 服务 器 系统 的 NTP 仅 限 单 播 。 本 书 将 仅 介 绍 单 播 的 NTP。 


o NTP Query 


前 面 已 经 讲 过 , “现在 几 点 了 ? ”这 个 询问 就 是 NTP Query。 在 
NTP Query 报 文 中 ， 源 IP 地 址 为 需要 同步 时 间 的 设备 的 耳 地 
址 ， 目 的 也 地址 则 是 NTP 服务 器 的 IP 地 址 。 采 用 的 协议 为 退 
求实 时 性 的 UDP。 此外， 源 端口 号 和 目的 端 | 123。 通 
过 标志 字段 中 的 模式 数值 可 以 识别 该 报 文 是 Query 还 

Reply。 如 果 是 Query 则 数值 为 3 〈client) 。 
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Peer Ts 5tUratuim: Ung ES or mveld (0) 
Peer Poliing intervall 6 (64 sec) 
Peer Clock Preosion: 0.00000 sec 
Root Deiay; 0,0000 sse 
Root Dspersmon;: 1.0000 sec 
Reaference ID; NUEL 
Reference Timestomp; Jon 1, 1970 00:00;00,000000000 UTC 
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Recerve Timestomp: Jan 1, 1970 00:00:00.000000000 UTC 
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Kay ID: 000003e8 
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图 5.1.3 通过 UDP 单 播发 送 NTP Query 
o NTP Reply 


前 面 已 经 讲 过 , “现在 是 oo 点 oo 分 oo 秒 哦 "这 个 答复 就 是 NTP 
Reply。 在 NTP Reply 报 文中 ， 源 IP 地 址 为 NTP 服务 器 的 IP 
地 址 ， 目 的 IP 地 址 则 是 需要 同步 时 间 的 设备 的 IP 地 址 。 和 
NTP Query 一 样 ， 采 用 的 协议 也 是 追求 实时 性 的 UDP， 源 端口 
号 和 目的 端口 号 也 都 是 123。 通 过 标志 字段 中 的 模式 数值 可 识 
别 该 报 文 是 Query 还 是 Reply。 如 果 是 Reply 则 数值 为 4( 
server) 。 模 式 后 面 紧 跟 着 客户 3 亲生 成 正确 时 间 所 需要 的 信 

息 ， 包括 层 、 时 间 信 息 和 延迟 ， 等 等 。 


同步 的 时 间 间 隔 会 发 生 改 变 


使 用 的 NTP 应 用 程序 不 同 ， 对 NTP 服务 器 执行 同步 处 理 的 时 间 间 
隔 就 不 同 。 我 们 以 Linux 中 常用 的 ntpd 为 例 来 看 一 下 。ntpd 的 同步 
时 间 间 隔 在 尚 不 稳定 的 时 候 为 64 秒 ， 随 着 稳定 程度 的 提高 会 逐渐 
变 成 128 秒 、256 秒 ...... 像 这 样 成 倍 地 增加 ， 最 长 可 达 1024 秒 。 
当然 ， 这 些 时 间 间 隔 的 设置 是 可 以 修改 的 。 
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图 5.1.4 NTP Reply 中 包含 着 诸多 生成 正确 时 间 所 需要 的 信息 





64 秒 。 ”129 各 256 各 512 动 
图 5.1.5 同步 的 时 间 间 隔 会 逐渐 变 长 
两 种 运行 模式 


NTP 客户 端 有 两 种 运行 模式 ， 分 别 叫 作 step 模式 和 slew 模式 。 粗 
略 地 讲 ， 二 者 的 区 别 在 于 它们 对 服务 器 发 布 的 时 间 是 如 何 校准 的 。 
step 模式 的 校准 是 一 气 呵 成 地 完成 的 ，slew 模式 的 校准 则 是 慢 条 斯 
理 地 实现 的 。 采 用 哪 一 种 模式 取决 于 NTP 客户 端 使 用 的 OS。 例 
如 ，ntpd 默认 的 运行 模式 就 是 当 NTP 客户 端的 时 间 和 NTP 服务 器 
发 布 的 时 间 相 差 超 过 128 毫秒 时 采用 step 模式 ， 小 于 128 宫 秒 时 则 
采用 slew 模式 。 





o step 模式 
在 step 模式 中 ， 无 论 NTP 客户 端的 时 间 和 NTP 服务 器 发 布 的 
时 间 相 差 多 少 ， 校 准 的 工作 都 是 一 气 呵 成 的 。 就 算 NTP 客户 
端的 计时 又 往 前 走 了 一 点 ， 也 会 被 调 回 成 NTP 服务 器 发 布 的 
时 间 。 交 换 机 、 路 由 器 等 并 不 特别 注重 时 间 信 息 的 设备 一 般 会 


采用 这 种 模式 。 
NTP 
客户 端的 时 间 


00:01:00 











时 间 轴 








图 5.1.6 step 模式 一 气 呵 成 地 完成 调 对 
slew 模式 


在 slew 模式 中 ， 校 准 是 慢 条 斯 理 地 完成 的 ， 每 秒 钟 只 校正 0.5 
坚 秒 ， 所 以 就 算 NTP 客户 端的 计时 又 往 前 走 了 一 点 ， 也 不 会 
被 马上 调 回 到 NTP 服务 器 发 布 的 时 间 。 由 于 校正 的 时 间 比 计 
时 往 前 走 的 时 间 要 短 ， 所 以 校准 的 进度 非常 缓慢 。 


在 DB 应 用 程序 、 日 志 应 用 程序 等 时 间 信 息 非 常 重要 的 应 用 程 
序 中 ， 采 用 step 模式 一 气 呵 成 地 完成 校准 可 能 会 引发 故障 ， 
此 人 们 一 般 会 在 安装 应 用 程序 之 前 先 用 step 模式 校准 ， 之 后 如 
果 出 现时 间 关 异 就 改 用 slew 模式 去 校准 。 


O 〇 








NTP 
客户 端的 时 间 


00 :01 :00 





时 间 轴 





只是 将 NTP 容 户 端 上 时 间 的 前 进 
速度 调 得 稍微 慢 一 点 点 而 已 


图 5.1.7 slew 模式 慢 条 斯 理 地 实现 校准 
要 耐心 等 待 时 间 校 准 结 


在 实际 架构 服务 器 系统 的 过 程 中 ， 由 于 各 人 台 设 备 的 时 间 往 往 五 花 八 
门 、 各 不 相同 ， 很 容易 让 我 们 烦躁 不 安 。 有 的 设备 有 强制 发 送 NTP 
Query 的 命令 ， 这 样 还 好 说 。 但 如 果 没 有 类 似 的 命令 ， 那 么 该 设备 
同步 时 间 的 作业 惑 会 很 费 工 夫 。 对 于 这 种 情况 ， 我 们 一 定 要 有 足够 
的 耐心 才 行 。 不 过 ， 如 果 等 了 一 个 小 时 还 是 没有 校准 好 ， 那 就 说 明 
是 设置 有 误 ， 应 该 去 仔细 确认 设置 的 内 容 。 


将 监控 服务 器 用 作 NTP 服务 器 ， 同 步 效果 会 更 好 


利用 NTP 同步 时 间 时 ， 最 重要 的 事项 束 是 保持 整个 系统 的 统一 
性 。 系 统 内 的 各 台 设 备 部 要 和 分 散在 互联 网 上 的 NTP 服务 器 取得 
时 间 上 的 同步 ， 然 而 ， 如 果 这 些 NTP 服务 器 的 时 间 本 喘 


就 不 统一 ， 那 么 即使 各 台 设 备 完成 了 同步 也 是 坚 无 意义 的 。 而 且 ， 
还 会 浪费 互联 网 的 通信 流量 。 所 以 ， 我 们 应 在 系统 内 只 选择 一 两 台 
NTP 服务 器 ， 然 后 执行 时 间 同 步 作 业 ， 这 样 就 能 够 保证 整个 系统 的 
统一 性 ， 效 率 也 会 更 高 。 


那么 ， 我 们 应 该 选择 哪 一 台 (或 两 台 〉 服务 器 ， 让 其 担任 NTP 服 
务 器 这 一 角色 呢 ? 这 是 个 经 党 会 被 问 到 的 问题 。 当 然 ， 我 们 也 可 以 
把 NTP 服务 器 完全 独立 出 来 。 不 过 ， 如 果 要 让 NTP 服务 和 其 他 服 
务 器 的 服务 共存 ， 那 么 笔者 建议 让 NTP 服务 器 和 监控 服务 器 共 居 
一 体 。 这 是 因为 ， 时 间 信 息 在 监控 服务 器 的 日 志 中 最 能 发 挥 作用 ， 
最 能 成 为 我 们 排除 故障 的 重要 依据 。 只 要 校准 监控 服务 器 的 时 间 ， 























我 们 就 能 将 日 志 按 照 时 间 顺 序 有 条 不 率 地 整理 出 来 。 


CIEEEEITEEETEEE EE EE 


Rn 上 的 NTP 服务 吕 ; ; | 和 让 按 弄 务 好 
同步 对 ; ; | 局 步 时 间 


互 葡 尊 上 的 互联 网 上 的 : 互联 宫 上 的 互联 泣 上 的 
NTP 毅 务 器 中 NTP 服务器 @ 3 : NTP 服务 骂人? NTP 服务 吕 癌 





图 5.1.8 确保 系统 内 时 间 的 一 致 性 
将 Windows 服务 器 用 作 NTP 服务 器 时 的 注意 点 


如 果 是 将 Windows 服务 器 用 作 NTP 服务 器 ， 我 们 需要 注意 一 点 。 

Windows 服务 器 中 包含 一 个 叫 作 W32Time 的 时 间 同 步 服务 ， 但 是 

在 默认 状态 下 ， 这 项 服务 并 不 会 对 其 他 设备 发 布 时 间 信 息 。 要 想 使 

就 必须 修改 它 的 注册 表 项 ， 详 情 情况 请 参考 以 下 
X| yo 








URL http://support.microsoft.com/kb/816042/ 


5.1.2 用 SNMP 检测 故障 


SNMP (Simple Network Management Protocol， 人 简单 网 络 管理 协 
议 ) 是 一 种 用 于 监控 网 络 设备 、 服 务 器 的 性 能 以 及 监控 故障 的 业内 
标准 管理 协议 ， 在 服务 器 系统 的 运行 管理 中 使 用 得 非常 广泛 。 在 服 
务 器 系统 中 ， 任 何故 障 出 现 之 前 都 是 会 有 蛛丝马迹 的 ， 抓 住 这 些 线 
索 极 其 重要 。 上 所 以 ， 我 们 应 坚持 定期 地 收集 所 管 设 备 的 各 种 信息 ， 
包括 CPU 使 用 率 、 内 存 占 用 率 、 通 信 流 量 、 数 据 包 数量 等 ， 尽 早 
检测 出 故障 的 苗头 。 


5.1.2.1 通过 SNMP 管理 器 和 SNMP 代理 交换 信息 


SNMP 由 两 个 要 素 构 成 ， 分 别 是 身 为 管理 方 的 SNMP 管理 器 和 被 管 
理 的 SNMP 代理 。 在 这 二 者 之 间 交 换 着 好 几 种 消息 组 合 ， 前 者 通 
过 这 些 消息 组 合 就 能 够 掌握 后 者 当前 的 状态 。 


SNMP 管理 器 是 负责 收集 SNMP 代理 的 管理 信息 并 对 其 进行 监控 的 
应 用 程序 。 比 较 知名 的 有 MRTG (Multi Router Traffic Grapher， 多 
路 由 器 流量 图 示 器 ) 、Open View Network Node 

Manager (OpenView 网 络 节点 管理 器 ) 和 TWSNMP 管理 器 ! 等 。 
无 论 哪 一 种 应 用 程序 都 能 对 收集 来 的 信息 进行 加 工 并 基于 Web GUI 
实现 可 视 化 ， 让 用 户 对 信息 一 目 了 然 。 
































1 由 Twise Labo. 公司 的 山居 正 幸 先生 开发 的 一 款 SNMP 管理 器 。 详 细 情 况 可 参考 
http://www.twise.co.jp/twsnmp.html 。 一 一 译 者 注 

















SNMP 代理 则 是 接受 SNMP 管理 器 发 出 的 要 求 并 将 故障 通知 给 对 方 
的 程序 。 绝 大 部 分 的 网 络 设备 和 服务 器 中 都 装 有 SNMP 代理 。 在 
SNMP 代理 中 有 一 个 叫 作 MIB (Management Information Base， 管 
理 信 息 库 ) 的 树 状 数据 库 ， 该 数据 库 中 保存 着 通过 OID (Object 
Identifier， 对 象 标识 符 ) 数值 识别 出 来 的 管理 信息 以 及 与 这 些 信 息 
相关 的 数值 。SNMP 管理 器 发 来 的 要 求 中 惑 包括 OID 值 ，SNMP 
代理 者 根据 该 值 返回 相关 值 ， 而 当 发 现 OID 值 有 变 时 ， 就 会 通知 
SNMP 管理 器 发 生 了 故障 。 








MIB 中 保存 着 将 收 到 的 信息 进行 
管理 信息 加 工 以 实现 可 视 化 
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SNMP 管理 器 
图 5.1.9 SNMP 管理 器 对 SNMP 代理 进行 管理 


SNMP 代理 
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twise OBJECT-TYPE 
— FROM TWPROBE-SNORT -MD, TYWPROBE-WRMON-MID, TWPROBE -WLANMON SED, TWHWNMONMIE 
‘= {lso(1) org(3) dod(6) nternet{!) private (3) enterprisesi!) 17361} 





图 5.1.10 MIB 为 树 状 结构 (图 为 在 TWSNMP 管理 器 中 看 到 的 
MIB 信息 ) 


5.1.2.2 ”熟练 掌握 三 种 运作 模式 


SNMP 采用 UDP， 工 作 原 理 非 常 简单 易 懂 。 将 GetRequest、 
GetNextRequest、SetRequest、GetResponse 和 Trap 这 五 种 消息 进行 
组 合 ， 然 后 通过 SNMP Get、SNMP Set 和 SNMP Trap 这 三 种 运作 
模式 实现 沟通 。 各 消息 之 间 均 以 Community 名 为 认证 口令 ， 口 令 
通过 则 通信 成 立 。 下 面 我 们 来 分 别 看 看 这 三 种 类 型 是 如 何 运 作 的 。 


o SNMP Get 
SNMP Get 是 获取 设备 信息 的 运作 模式 。 形 象 地 说 就 相当 于 
SNMP 管理 器 提出 “请 把 oo 的 信息 给 我 ! ”的 请 求 ，SNMP 代理 
则 给 出 “这 个 信息 的 内 容 是 oo 哦 ! ”的 回应 ， 过 程 并 不 复杂 。 


请 把 这 个 OID 
的 值 返 给 我 


那个 OID 的 值 


GetResponse Co 
《一 | GetNextRequest ] 导 


SNMP 管理 器 


OID 的 值 返 给 





那个 上 ID, 的 值 


是 OO 
图 5.1.11 通过 SNMP Get 获取 OID 的 信息 


具体 的 步骤 就 是 先 由 SNMP 管理 器 将 包含 着 OID 的 
GetRequest 消息 发 给 SNMP 代理 。GetRequest 消息 以 UDP 单 
播 的 形式 发 出 ， 目 的 端口 号 为 161。 然 后 ，SNMP 代理 将 被 指 
定 的 OID 的 值 以 GetResponse 消息 的 形式 返回 给 SNMP 管理 
器 。SNMP 管理 器 需要 下 一 则 信息 时 ， 承 将 所 需 的 OID 放 在 


| 消息 中 再 次 发 给 SNMP 代理 ， 然 后 SNMP 代 
理 者 又 返回 相应 的 GetResponse 消息 。 像 这 样 不 断 循环 往复 。 


S dats: get-request (0) 
S get-request 
request-jd: 26184 
error-status; noError (0) 
errorindex: 0 


B varisble*bindings; 2 tems 
B 1.3.6.1,2.1,2.2.1.7,1: Value (Null) 
Object Name: 1.3,6.1.2,1.2.2.1,7.1 (i150,3.6.1.2,1.2.2.1.7.1) 
Value (Null) 
BB 1,3.6.1.2.1.2.2.1.8.1: Value (Null) 
Object Nome: 1.3:6.1.2.1.2.2,1.8,1 (lS0.3,6.1.2,1,2,2,1,8.1) 
Value (Nu) 








图 5.1.12 发 出 一 条 包含 OID 的 GetRequest 消息 








3 Simple Ne Ti ee 
verson: v2c (1) 


Community 名 为 
3 deto: get-response (2) 认证 P 令 
3 get-response 
reduest-id: 26184 
eror-status: NoError (0) 
errormindex: 0 
3 varible-bindings: 2 items 
SB 313.6;1.2/1,2,2.1.7.1: 
Object Name: 1.3.6,1,2.1,2.2,.1.7,1 (50,3,6.1.2.1.2.2,1,7.1) 
Value (Integer32); 1 
1.9.6.1.2.1.2.2.1.8.1: 
Object Name: 1.3.5,1,2.1.2.2.1,8.1 (is0.3.5.1.2,1.2.2.1.8.1) 
Value (INteger32): 1 











图 5.1.13 返回 的 GetResponse 消息 包含 了 被 指定 的 OID 的 
值 


SNMP Set 


SNMP Set 是 更 新 设备 信息 的 运作 模式 。 形 象 地 说 相当 于 SNMP 管 
理 器 提出 了 “请 更 新 oo 的 信息 ! ”的 要 求 ，SNMP 代理 执行 之 后 则 给 
出 “更 新 好 了 ! ”的 回应 。 以 前 曾 有 系统 管理 人 员 问 笔者 “为 什么 要 
更 新 呢 ? 那 不 成 了 造假 吗 ? ”但 实际 上 ， 这 种 运作 并 不 是 用 来 造假 
的 。 在 使 用 SNMP Set 的 例子 当中 ， 最 容易 理解 的 就 是 关闭 端口 
了 。 我 们 知道 ，SNMP 代理 保存 的 OID 值 代 表 了 端口 的 状态 ， 只 
有 更 新 这 个 值 之 后 我 们 才能 将 端口 关闭 掉 。 


具体 步 又 和 SNMP Get 的 差别 并 不 大 ， 只 是 使 用 的 消息 不 同 而 已 。 
先是 SNMP 管理 器 将 包含 着 OID 的 SetRequest 消息 发 给 SNMP 代 
理 。SetRequest 消息 和 GetRequest 消息 同样 以 UDP 单 播 的 形式 发 
出 ， 目 的 端口 号 也 是 161。 然 后 ，SNMP 代理 将 更 新 好 的 OID 值 以 
GetResponse 消息 的 形式 返回 给 SNMP 管理 右 。 











SNMP 管理 器 


图 5.1.14 通过 SNMP Set 更 新 OID 的 值 


DG Froms 915: 7 Des on we (On bis), 7 byes captursd (696 Aa) 


versioN; v2c (1) 
SB data: set-request (3) -RB 
已 set-redquest 
request"ld: 18980 
error-status: NoError (0) 
Erorindex: 0 
GB varsble~bindings: 1 tem 
B49.6.1.23.2,2,17.0° 
Object Name: 1.3,6,1,.2,1.2.2.1.7.0 (i50,3.6,.1,2.1,2,2,1,7.0) 
Value (INteger32): 2 
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图 5.1.15 发 出 SetRequest 消息 ， 告 知 需要 更 新 的 OID 及 其 当前 
数值 


SNMP Trap 


SNMP Trap 是 告知 故障 发 生 的 运作 模式 。 形 象 地 说 就 相当 于 SNMP 
代理 向 SNMP 管理 器 发 出 了 “oo 发 生 故 障 了 ! ”的 通知 。 这 里 请 务 
必要 注意 ，SNMP Get 和 SNMP Set 都 是 由 SNMP 管理 器 发 出 的 通 


信 ， 只 有 Trap 是 由 SNMP 代理 发 出 的 通信 


SNMP 代理 一 旦 发 现 OID 的 值 有 了 特定 的 变化 ， 就 会 断定 有 故障 
发 生 ， 于 是 向 SNMP 管理 器 发 送 Trap 信息 。Trap 依然 是 以 UDP 
单 播 的 形式 发 出 ， 但 目的 端口 号 是 162。 





SNMP 代理 
SNMP 管理 器 


图 5.1.16 通过 SNMP Trap 检测 到 故障 


| 
上 10:f9:00: Fr 


version: version-1 0 一 -一 一 一 一 一 一 到 Pie 部 播 ， 
-er 
日 datai trap 全 = 
Strap 
entarprise: 1.3.6.1.4.1.9.9.43.2 (is0,3.6.1,4,1,9,9.43,2) 
ogent-eddr: 3.3,.3.3 (3,3,3.3) 
ee traps enterpriseSpecific (6) 


E varable~ i 3 items 
1.3;6,.1,4,1.9.9.43.1,1.6-1.3.13: 
Object Name: 1.3.6:1.4.1.9.9.43.1.1.6.1.3.13 (1s0.3.6.1.4.1.9,9.43,1.1.6.1.3.13) 
Value (Integer32): 1 
日 ,3.6,1.4.1,9,9,43.1,1,.6.1,.4,.13: 


Object Name: 1.3.65.1:4.1.9.9.43.1.1.6:1.4.13 (is0.3.6.1.4.1.9.9.43.1.1.6.1.4.13) 
Value (Integer32): 2 

SS 13.3.6,1.4,1.9,9.43,1,.1.6.1,5.13: 
Object Name: 1,3,6.1.4,1,9,9.43,F,1,6.1,5.13 (i50.3,.6,1,4,1,9,9.43.1.1.6.1,5,13) 
Value (Integer32): 3 











图 5.1.17 通过 SNMP Trap 告知 是 哪个 OID 发 生 了 故障 
5.1.2.3 ”限制 源 IP 地 址 


目前 ， 世 界 上 最 党 用 的 SNMP 版 本 为 v2c 版 本 。v2c 并 不 具备 加 密 
功能 ， 重 要 的 管理 信息 会 以 明文 的 形式 发 出 。 在 v2c 中 ， 唯 一 能 够 
保证 数据 安全 的 只 有 community 名 这 个 认证 口令 ， 但 信息 终究 还 是 
以 明文 的 形式 发 出 去 的 ， 所 以 数据 安全 是 该 版 本 的 一 个 弱项 。 


为 了 解决 这 个 问题 ， 我 们 在 使 用 SNMP 的 时 候 务必 要 限制 被 SNMP 
代理 所 允许 的 源 IP 地 址 、 即 SNMP 管理 器 的 IP 地址 ， 以 此 来 保证 
数据 安全 。 
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GetRequest 
SetRequest 





GetRequest 
SetRequest 





公司 内 部 用 户 





图 5.1.18 在 SNMP 代理 中 限制 源 IP 地 址 
5.1.3 ”用 Syslog 检测 故障 


Syslog 是 一 种 用 于 转发 日 志 消 息 的 业内 标准 管理 协议 。 网 络 设 备 和 
服务 器 的 内 部 (缓存 、 人 硬盘 等 ) 保存 着 很 多 记录 了 各 种 事件 的 日 
志 ，Syslog 将 这 些 日 志 转 发 给 Syslog 服务 器 ， 实 现 日 志 的 一 元 化 管 
理 。 在 服务 器 系统 中 ，Syslog 常常 和 SNMP 一 起 使 用 。 


Syslog 的 工作 原理 非常 简单 


Syslog 采用 UDP， 工 作 原 理 非 常 简单 易 懂 。 当 发 生 某 个 事件 的 时 
修 ， 它 会 将 该 事件 保存 到 本 机 的 缓冲 或 硬盘 中 ， 同 时 也 将 事件 转发 
给 Syslog 服务 器 。 转 发 以 UDP 单 播 的 形式 进行 ， 目 的 端口 号 为 
514。 消 息 部 分 由 Facility〈 程 序 模块 ) 、Severity《〈 严 重 性 ) 和 消息 
本 体 构成 ， 消 轧 本 体 即日 志 的 内 容 ， 本 书 将 要 介绍 的 是 Facility 和 














Severity。 
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图 5.1.19 通过 Syslog 转发 日 志 
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User Dem Protocol, Src Por: 62160 (62150), Dst Port: syslog (S514) 


1011 1... = Poiiby: LOCAL7 ~ poperved for local use (23) 
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图 5.1.20 ”通过 Syslog 转发 日 志 消 息 
Severity 


Severity 是 表示 日 志 消 息 重 要 性 的 值 ， 分 成 0 ~ 7 共 八 个 等 级 ， 值 
越 小 ， 重 要 性 就 越 高 。 哪 个 Severity 以 上 的 消息 应 发 给 Syslog 服务 
妖 、 哪 个 Severity 以 上 的 消息 应 保存 到 什么 程度 (消息 大 小 或 保存 
时 间 ) ， 这 些 事 项 在 设计 的 时 候 都 必须 定义 清楚 。 例 如 , “warning 
级 别 以 上 的 消息 应 发 给 Syslog 服务 器 ，informational 级 别 以 上 的 消 
息 应 保存 在 缓存 中 (最 大 40960 字 节 ) ”一 一 应 该 像 这 样 去 定义 。 
对 有 些 设备 来 说 ， 输出 日 志 这 个 作业 本 身 可 和 EE 就 会 成 为 处 理 负 和 蓓 ， 
所 以 我 们 也 要 充分 考虑 到 这 一 点 ， 合 理 调整 Severity， 避 免 让 输出 
日 志 成 为 处 理 负 三。 


表 5.1.1 Severity 的 值 表示 重要 性 的 高 低 
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Facility 
Facility 表示 日 志 消 息 的 种 类 ， 总 共有 24 种， 具体 内容 如 下 表 所 
示 o 


表 5.1.2 Facility 表示 消息 的 种 类 


Fle 
任意 用 户 的 消息 
~ | 邮件 系统 (sendmail、qmail 等 ) 的 消息 





daemon 系统 守护 进程 (ftpd、named 等 ) 的 消息 





-pn 玫 所 安全 /认证 (login、 a 各) 的 消息 
村 syslog 守 护 渤 程 的 消息 


ji 行 式 打印 机 子 系统 的 消息 





同乡 闻 了 条 统 的 消息 


UUCP 子 系统 的 六 





时 钟 守 护 进 程 (cron 和 at) 的 消息 








数据 安全 /认证 的 消息 








FTP 守 护 进 程 的 消息 


NTP 子 系统 的 消息 

















































































































































































































local6 22 任意 用 途 





请 注意 ， 有 些 设备 的 Facility 是 不 能 修改 的 ， 所 以 设计 时 我 们 一 定 
要 仔细 确认 好 设备 的 规格 。 


将 消 妃 过 滤 后 会 更 加 容易 管理 


笔者 常 听 说 这 样 的 情况 : 在 Syslog 服务 器 的 日 常 运行 当中 ， 日 志 
消息 总 是 在 系统 发 生 故障 的 时 候 大 量 涌现 ， 结 果 导 致 管理 人 员 看 漏 
了 重要 的 日 志 。 其 实 ， 故 障 发 生 时 收 到 大 量 的 日 志 消 息 是 再 自然 不 
过 的 事情 ， 而 这 种 关键 时 刻 如 果 起 不 到 任何 作用 ，Syslog 服务 器 也 
就 宰 无 存在 意义 了 。 为 了 避免 看 漏 重 要 的 日 志 ， 我 们 应 通过 
Severity 或 Facility 在 Syslog 服务 器 中 对 消息 进行 过 滤 。 


5.1.4 传递 设备 信息 


服务 器 系统 发 生 故 障 的 根源 大 多 在 物理 层 ， 所 以 我 们 必须 做 好 连接 
管理 。 具 体 说 来 ， 就 是 要 清楚 哪个 端口 连接 着 哪 台 设备 ， 这 在 服务 
器 系统 的 运行 管理 中 极其 重要 。 网 络 中 有 好 几 个 能 够 查找 相 邻 设备 
的 协议 ， 都 是 我 们 管理 连接 的 好 帮手 ， 比 较 有 代表 性 的 是 

CDP (Cisco Descovery Protocol， 思 科 发 现 协议 ) 和 LLDP (Link 
Layer Discovery Protocol， 链 路 层 发 现 协 议 ) 。 二 者 都 是 L2 协议 ， 
能 够 发 送 包 括 IP 地 址 、 机 型 和 OS 版 本 等 在 内 的 设备 信息 ， 让 连接 
管理 变 得 轻松 起 来 。 


5.1.4.1 CDP 


CDP 是 思科 公司 独 有 的 L2 协议 。 对 设备 信息 进行 封装 处 理 时 ， 它 
使 用 的 不 是 Ethernet I1 〈DIX) 规格 ， 而 是 IEEE802.3 规格 的 增强 
版 [EEE802.3 with LLC/SNAP。 


CDP 为 激活 状态 的 设备 在 默认 情况 下 会 每 隔 60 秒 将 一 个 CDP 帧 发 
送 给 系统 已 占用 的 多 播 MAC 地 址 01-00-0c-cc-cc-cc。 收 到 CDP 帧 
的 互 连 设 备 将 其 保存 到 缓存 中 ， 在 接 下 来 的 180 秒 之 内 如 果 没 有 收 





























到 对 方 发 来 的 CDP 帧 ， 或 者 链 路 发 生 了 中 断 ， 该 设备 就 会 将 对 方 
的 相关 链 路 信息 丢弃 。 





图 5.1.21 通过 CDP 了解 相 令 设备 的 信息 





DSAP: SNAP (Oxaa) 
1 Blt; Individual 
SSAP; SNAP (Oxaa) 
CR BK: Command 
轩 Control field; U, 和 nc=HUI (0x03) 
Organization Code; Csco (Dx00000c) 














图 5.1.22 CDP 中 包含 着 诸多 的 设备 管理 信息 


5.1.4.2 LLDP 





LLDP 是 基于 IEEE802.1ab 的 协议 ， 一 般 用 在 由 多 家 供应 商 提 供 的 
不 同 品牌 设备 所 组 成 的 环境 中 。 它 使 用 Ethernet [规格 对 设备 信息 
进行 封装 处 理 ， 格 式 和 CDP 有 所 不 同 ， 但 功能 基本 上 是 一 样 的 。 


LLDP 为 激活 状态 的 设备 每 隔 30 秒 〈 推 荐 秒 数 ) 将 一 个 LLDP 帧 
发 送 给 系统 已 占用 的 多 播 MAC 地 址 01-80-c2-00-00-0e。 收 到 
LLDP 帧 的 互 连 设 备 将 其 保存 到 一 个 叫 作 LLDP MIB 的 数据 库 中 管 
理 。 在 接 下 来 的 120 秒 之 内 如 果 没 有 收 到 对 方 发 来 的 LLDP 帧 或 者 
链 路 发 生 了 中 断 ， 该 设备 就 会 将 对 方 的 相关 链 路 信息 丢弃 。 





我 的 设备 信息 认识 到 与 本 机 至 连 
是 OO 的 设备 是 QO 
人 一 
认识 到 与 本 机 互 连 我 移 设 备 信 息 
的 设备 是 ANA 是 AA 


图 5.1.23 通过 LLDP 了 解 相 邻 设备 的 信息 
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图 5.1.24 LLDP 中 包含 着 诸多 的 设备 管理 信息 
5.1.4.3 注意 CDP 和 LLDP 的 数据 安全 问题 


CDP 和 LLDP 在 连接 言 理 方面 能 殉 肥 择 巨 六 的 作用 ， 然 而 蕊 们 并 个 

是 完美 无 缺 的 。 由 于 二 者 都 是 以 明文 的 形式 发 送 设备 管理 信息 ， 从 
数据 安全 的 角度 来 看 极 易 受 到 恶意 攻击 。 因 此 ， 在 Untrust 区 段 和 
DMZ 区 段 ， 我 们 最 好 不 要 激活 这 两 个 协议 。 笔 者 一 般 是 这 样 会 在 
连接 设备 的 时 候 激 活 这 两 个 协议 ， 等 到 连接 结束 并 且 确 认 到 物理 结 
构 的 连接 没有 问题 之 后 就 将 它们 注销 ， 用 这 种 方式 来 应 用 CDP 和 
LLDP。 


总 之 ， 进 行 设 计 的 时 候 ， 我 们 首先 应 该 决定 是 否 需要 激活 查找 相 邻 
设备 的 协议 。 如 果 需 要 ， 那 么 接 下 来 就 要 明确 两 个 事项 ， 应 激活 哪 
一 个 协议 以 及 在 哪里 激活 (用 在 何 处 ) 。 间 隔 时 间 (发 送信 息 的 间 
隔 ) 和 Hold 时 间 (经 过 多 长 时 间 之 后 丢弃 信息 ) 一 般 无 需 变更 。 














5.2 ”管理 设计 


从 本 节 开 始 ， 将 不 再 讲述 运行 管理 技术 ， 而 是 介绍 一 些 侦 管理 方面 
的 设计 事项 。 内 容 会 稍微 琐碎 一 点 ， 但 对 今后 的 工作 是 大 有 神 益 
的 ， 建 议 大 家 对 这 些 内 容 在 设计 阶段 整 一 一 做 好 规定 。 


5.2.1 确定 主机 名 


主机 名 定义 了 了 地 点 、 设 备 以 及 设备 承担 的 角色 等 标识 符 ， 必 须 让 
人 一 看 就 懂 才 行 。 有 些 设备 规定 主机 名 中 不 能 使 用 特殊 字符 或 者 必 
须 使 用 FQDN， 对 于 这 些 限制 ， 我 们 一 定 要 预先 确认 好 。 在 定义 主 
机 名 时 有 两 个 要 点 容易 被 忽视 ， 那 就 是 位 数 和 称呼 。 


在 大 规模 的 网 络 环境 中 ， 人 们 常常 会 利用 Tera Term 或 Excel 的 安 
处 理 等 自动 形成 主机 名 。 主 机 名 的 位 数 如 果 一 致 ， 宏 的 制作 就 会 相 
对 简单 一 些 ， 可 以 省 去 很 多 不 必要 的 作业 。 此 外 ， 称 呼 也 是 一 个 容 
易 被 人 们 忽视 的 要 点 。 主 机 名 中 包含 着 各 种 各 样 的 标识 符 ， 理 解 不 
够 充分 的 话 很 容易 看 得 军 头 转 癌 。 所 以 ， 我 们 应 定义 和 主机 名 一 致 
的 称呼 ， 这 样 在 谈论 相关 话题 或 编写 文档 等 情况 下 束 不 会 弄 混 了 ， 
可 谓 好 处 多 多 。 


5.2.2 ”通过 标签 管理 连接 


所 谓 定义 标签 ， 就 是 规定 在 什么 地 方 贴 什么 样 的 标签 ， 这 在 管理 设 
计 中 是 个 非 第 重要 的 环节 。 你 可 能 会 想 “ 啊 ? 标签 ? 封条 ? 能 起 多 
大 的 作用 啊 ? *” 千 万 别 小 看 一 枚 小 小 的 标签 ， 它 的 作用 可 大 着 呢 。 

系统 发 生 故 障 的 时 候 ， 我 们 需要 立即 知道 是 什么 地 方 的 哪 台 设备 出 
了 问题 ， 而 这 个 小 小 的 标签 就 能 帮 上 我 们 的 大 忙 ?。 


? 出 于 对 数据 安全 的 考虑 ， 有 些 网 络 环境 可 能 不 允许 使 用 标签 。 遇 到 这 种 情况 时 应 和 系 
管理 人 员 协 商 解 决 。 













































































5.2.2.1 线 缆 标签 


这 里 说 的 线 统 不 光 是 LAN 线 线 ， 还 包括 电源 线 统 、 用 于 SAN 的 光 
纤 光 线 等 服务 器 端的 所 有 线 统 。 对 于 这 些 线 绵 ， 我 们 要 定义 它们 应 


各 目 使 用 哪 一 种 标签 以 及 要 标注 什么 内 容 。 


定义 的 办 法 有 很 多 种 ， 如 果 在 现 有 的 其 他 系统 中 也 用 到 了 标签 ， 我 
们 不 妨 直 接 取经 ， 以 该 系统 中 的 定义 为 准 。 一 般 来 次 ， 人 们 大 都 会 
使 用 过 塑 类 型 的 标签 或 圆 形 标签 ， 在 标签 上 注 明 连接 源 设 备 和 连接 
目的 设备 的 主机 名 和 端口 号 。 


一 般 多 使 用 过 逆 类 型 的 


由 连 立 源 设 备 的 主机 名 和 应 口 号 和 
连接 目的 设备 的 主机 名 和 端口 号 
图 5.2.1 定义 线 缆 标 签 的 种 类 和 标注 的 内 容 


5.2.2.2 本体 标签 


我 们 对 贴 在 设备 本 体 上 的 标签 也 应 做 出 定义 ， 定 义 将 它们 贴 在 哪里 
以 及 标注 些 什么 内 容 。 本 体 标签 同样 有 多 种 定义 的 办 法 ， 如 果 在 现 
有 的 其 他 系统 中 也 用 到 了 标签 ， 我 们 不 妨 直 接 取 经 ， 以 该 系统 中 的 
定义 为 准 。 有 些 管理 人 员 会 对 本 体 标签 中 的 字体 大 小 比较 介意 ， 我 
们 最 好 详细 征询 一 下 他 们 的 意见 。 一 般 来 说 ， 设 备 本 体 的 正 、 反 面 
都 应 贴 上 标 有 主机 名 的 标签 。 





5.2.3 ”设计 密码 


在 管理 设计 中 ， 我 们 还 要 为 设备 定义 其 专用 密码 。 无 论 放置 设备 的 
数据 中 心 建 得 有 多 么 固 知 金汤 ， 如 果 我 们 将 设备 密码 随便 地 设 

成 *password”， 那 么 数据 安全 依然 无 从 谈 起 ， 因 为 这 种 密码 毕竟 只 
是 虚 张 声势 的 纸老虎 而 已 。 根 据 信息 安全 认证 规格 

ISMS (Information Security Management System， 信 息 安 全 管理 体 
系 ) 的 规定 ， 好 的 密码 必须 具备 以 下 几 个 条 件 。 


(1) 容易 记忆 。 


(2) 他 人 很 难 从 本 人 的 相关 信息 《如 名 字 、 电 话 号 码 、 生 日 等 ) 
中 推测 或 获取 该 密码 。 











(3) 经 得 住 字 典 式 攻击 《〈 即 无 法 从 字典 中 包含 的 单词 或 短语 破解 
密码 ) 。 


(4) 不 是 重复 同样 的 文字 ， 不 仅 是 数字 或 字母 的 长 串 罗 列 。 


如 果 并 不 需要 获得 ISMS 认证 ， 我 们 大 可 不 必 严 格 章 守 上 面 的 条 

件 。 不 过 ， 至 少 我 们 应 该 避免 将 密码 设置 成 用 户 能 够 轻易 想到 的 内 
容 。 有 些 设备 可 以 在 浏览 层面 和 设置 层面 分 别 设置 几 个 不 同 的 密 

码 ， 对 这 样 的 设备 ， 我 们 绝 不 能 图 省 事 而 都 设 成 完全 一 样 的 密码 ， 
否则 分 层 管理 就 形同虚设 。 所 以 我 们 千 万 不 能 偷懒 ， 一 定 要 给 不 同 
的 层面 分 别 设置 不 同 的 密码 才 行 。 


5.2.4 管理 设置 信息 


应 如 何 备 份 网 络 设备 的 设置 信息 、 又 应 如 何 将 它们 还 原 ， 这 也 是 管 
理 设计 的 一 项 重要 和 内容。 人 们 往往 十 分 重视 服务 咒 的 备份 和 恢复 ， 
对 网 络 设备 的 备份 和 恢复 却 没有 足够 的 关注 。 然 而 ， 网 络 设备 的 设 
置信 息 承 载 着 整个 系统 的 根基 和 主干 ， 其 重要 性 绝 不 亚 于 服务 器 中 
的 同类 部 分 。 因 此 ， 对 于 网 络 设备 的 设置 信息 ， 我 们 一 定 要 明确 定 
义 应 在 何 时 、 何 处 、 怎 样 地 去 进行 备份 和 恢复 。 


5.2.4.1 在 备份 设计 中 应 定义 时 机 、 方 式 和 保存 地 后 


进行 备份 设计 是 要 把 握 时 机 、 方 式 和 保存 地 点 这 三 个 要 点 ， 下 面 束 
简单 说 明 一 下 这 三 个 要 后 。 

在 修改 设置 之 前 备份 

网 络 设备 的 备份 不 同 于 服务 器 的 备份 ， 人 们 一 般 很 少 会 去 定期 执 

行 。 当 然 ， 我 们 可 以 通过 专用 的 管理 工具 去 定期 执行 备份 。 最 近 ， 
也 可 以 利用 网 络 设备 中 的 cron? 功能 定期 安排 备份 了 。 不 过 在 大 多 
数 情况 下 ， 人 们 都 是 在 修改 设置 之 前 去 备份 的 。 


3 cron 是 一 种 能 够 定期 执行 job 的 功能 。 












































为 不 同 的 设备 定义 不 同 的 备份 方式 
设备 不 同 ， 备 份 方式 就 会 有 所 不 同 。 有 些 设备 甚至 专门 配置 了 生成 








备份 文件 用 的 沫 单 ， 足 见 差别 之 大 。 所 以 ， 我 们 务必 仔细 确认 需要 
备份 什么 信息 以 及 通过 什么 协议 去 执行 备份 ， 针 对 不 同 的 设备 定义 
不 同 的 备份 方式 。 


定义 将 备份 文件 保存 到 什么 地 方 


我 们 还 必须 定义 应 将 备份 文件 保存 到 哪里 。 如 果 将 每 台 设 备 的 备份 
文件 都 保存 到 不 同 的 地 方 就 室 无 统一 性 可 言 了 ， 只 会 引起 管理 上 的 
混乱 。 另 外 ， 我 们 还 要 注意 备份 文件 名 的 格式 ， 同 样 ， 如 末 各 目 使 
用 不 同 的 格式 就 会 杂乱 无 章 ， 导 致 我 们 会 连 最 基本 的 设备 设置 时 间 
都 无 从 得 知 。 总 而 言 之 ， 各 个 方面 我 们 都 必须 进行 统一 的 规划 ， 保 
持 管 理 的 统一 性 。 





如 何 生 成 备份 交 件 





图 5.2.2 在 备份 设计 中 定义 备份 的 时 机 、 方 式 和 保存 地 点 
5.2.4.2 发生 故 障 时 执行 恢复 处 理 


和 服务 器 的 恢复 处 理 一 样 ， 网 络 设备 的 恢复 处 理 也 是 在 发 生 故 障 时 
执行 的 。 至 于 采用 什么 恢复 方式 则 和 备份 一 样 取决 于 设备 本 里 。 我 
们 要 预先 确认 各 种 设备 分 别 应 该 采取 怎样 的 恢复 方式 ， 然 后 明确 做 
出 定义 。 对 茶 些 设备 来 说 ， 在 发 生 故 障 的 时 候 与 其 执行 恢复 处 理 ， 
还 不 如 直接 重新 设置 。 对 于 这 样 的 设备 ， 我 们 应 将 其 作为 例外 单独 
定义 。 总 而 言 之 ， 在 恢复 处 理 的 设计 中 ， 系 统 快速 起 死 回 生 的 命 门 


掌握 在 清晰 明确 的 各 种 定义 当中 。 


系统 管理 人 员 


部 









文件 服务 器 


设置 信息 
|2_20140101_01.txt 


设置 信息 
13_20140101_01.txt 


设置 信息 
fw_20140101_01.txt 


设置 信息 
Ib_20140101_01.ucs 


图 5.2.3 发 生 故 障 时 执行 恢复 处 理 


全 
看 完了 
如 果 您 对 本 书 内 容 有 疑问 ， 可 发 邮件 至 contact@turingbook.com， 会 
有 编辑 或 作 译 者 协助 答疑 。 也 可 访问 图 灵 社 区 ， 参 与 本 书 讨论 。 
如 有 果 是 有 关 电 子 书 的 建议 或 问题 ， 请 联系 专用 客服 邮箱 : 


ebookturingbook.com。 
在 这 里 可 以 找到 我 们 : 
微 博 @ 图 灵 教 育 : 好 书 、 活 动 每 日 播报 


o 微 博 @ 图 灵 社 区 : 电子 书 和 好 文章 的 消 忆 
o 微 博 @ 图 灵 新 知 : 图 灵 教 育 的 科普 小 组 








微 信 图 灵 访 谈 : ituring_interview， 讲 述 码 农 精彩 人 生 
微 信 图 灵 教 育 : turingbooks 








图 灵 社 区 会 员 张 海 川 (zhanghaichuan@ptpress.com.cn) 专 享 尊重 
版 权 


